Konfigurieren von AWS IAM Identity Center (Nachfolger von AWS Single Sign-On) für einmaliges Anmelden mit Microsoft Entra ID

In diesem Artikel erfahren Sie, wie Sie AWS IAM Identity Center (Nachfolger von AWS Single Sign-On) mit Microsoft Entra ID integrieren. Die Integration des AWS IAM Identity Centers in Microsoft Entra ID ermöglicht Folgendes:

• Steuern Sie in Microsoft Entra ID, wer Zugriff auf AWS IAM Identity Center hat.
• Ermöglichen Sie es Ihren Benutzern, sich mit ihren Microsoft Entra-Konten automatisch bei AWS IAM Identity Center anzumelden.
• Verwalten Sie Ihre Konten an einem zentralen Ort.

Anmerkung: Bei der Verwendung von AWS-Organisationen ist es wichtig, ein anderes Konto als Identitätscenter-Verwaltungskonto zu delegieren, das IAM Identity Center darauf zu aktivieren und das Entra ID-SSO mit diesem Konto und nicht das Stammverwaltungskonto einzurichten. Dadurch wird eine sicherere und verwaltbare Einrichtung sichergestellt.

Voraussetzungen

In diesem Artikel wird davon ausgegangen, dass Sie bereits über die folgenden Voraussetzungen verfügen:

• Ein Microsoft Entra-Benutzerkonto mit einem aktiven Abonnement. Wenn Sie noch kein Konto besitzen, können Sie kostenlos ein Konto erstellen.
• Eine der folgenden Rollen:
  • Anwendungsadministrator
  • Cloudanwendungsadministrator
  • Anwendungsbesitzer.

• Eine Konfiguration von AWS Organizations, bei der ein anderes Konto als Identity Center-Verwaltungskonto delegierte wurde.
• AWS IAM Identity Center ist für das delegierte Identity Center-Verwaltungskonto aktiviert.

Beschreibung des Szenarios

In diesem Artikel konfigurieren und testen Sie Microsoft Entra SSO in einer Testumgebung.

Anmerkung: Stellen Sie sicher, dass Sie ein anderes Konto als Identitätscenter-Verwaltungskonto delegiert und das IAM Identity Center aktiviert haben, bevor Sie mit den folgenden Schritten fortfahren.

• AWS IAM Identity Center unterstützt SSO, das von SP und IDP initiiert wird.

• AWS IAM Identity Center unterstützt die automatisierte Benutzerbereitstellung.

Hinzufügen von AWS IAM Identity Center aus dem Katalog

Zum Konfigurieren der Integration von AWS IAM Identity Center in Microsoft Entra ID müssen Sie AWS IAM Identity Center aus dem Katalog der Liste mit den verwalteten SaaS-Apps hinzufügen.

1. Melden Sie sich mindestens als Cloudanwendungsadministrator beim Microsoft Entra Admin Center an.
2. Navigieren Sie zu Entra ID>Enterprise-Apps>Neue Anwendung.
3. Geben Sie im Abschnitt "Hinzufügen aus dem Katalog " das AWS IAM Identity Center in das Suchfeld ein.
4. Wählen Sie AWS IAM Identity Center aus dem Ergebnisbereich aus, und fügen Sie die App hinzu. Warten Sie einige Sekunden, während die App Ihrem Mandanten hinzugefügt wird.

Alternativ können Sie auch den Konfigurations-Assistenten für Enterprise-Apps verwenden. In diesem Assistenten können Sie Ihrem Mandanten eine Anwendung hinzufügen, der App Benutzer und Gruppen hinzufügen, Rollen zuweisen sowie die SSO-Konfiguration durchlaufen. Erfahren Sie mehr über Microsoft 365-Assistenten.

Konfigurieren und Testen des einmaligen Anmeldens (SSO) von Microsoft Entra für AWS IAM Identity Center

Konfigurieren und testen Sie Microsoft Entra SSO mit AWS IAM Identity Center mithilfe eines Testbenutzers namens B.Simon. Damit SSO funktioniert, muss eine Linkbeziehung zwischen einem Microsoft Entra-Benutzer und dem entsprechenden Benutzer in AWS IAM Identity Center eingerichtet werden.

Führen Sie zum Konfigurieren und Testen des einmaligen Anmeldens (SSO) von Microsoft Entra mit AWS IAM Identity Center die folgenden Schritte aus:

1. Konfigurieren Sie Microsoft Entra SSO – damit Ihre Benutzer dieses Feature verwenden können.
   1. Erstellen Sie einen Microsoft Entra-Testbenutzer – um microsoft Entra Single Sign-On mit B.Simon zu testen.
   2. Weisen Sie den Microsoft Entra-Testbenutzer zu – damit B.Simon das Einmalige Anmelden von Microsoft Entra verwenden kann.
2. Konfigurieren Sie AWS IAM Identity Center SSO – um die Einstellungen für einmaliges Anmelden auf Anwendungsseite zu konfigurieren.
   1. Erstellen Sie einen AWS IAM Identity Center-Testbenutzer – um ein Gegenstück von B.Simon im AWS IAM Identity Center zu haben, das mit der Microsoft Entra-Darstellung des Benutzers verknüpft ist.
3. Testen Sie SSO – um zu überprüfen, ob die Konfiguration funktioniert.

Konfigurieren des einmaligen Anmeldens (SSO) von Microsoft Entra

Führen Sie die folgenden Schritte aus, um einmaliges Anmelden von Microsoft Entra zu aktivieren.

1. Melden Sie sich mindestens als Cloudanwendungsadministrator beim Microsoft Entra Admin Center an.

2. Navigieren Sie zu Entra ID>Enterprise-Apps>AWS IAM Identity Center>Single Sign-On.

3. Wählen Sie auf der Seite " Single Sign-On-Methode auswählen " SAML aus.

4. Wählen Sie auf der Seite " Einmaliges Anmelden mit SAML einrichten " das Stiftsymbol für die grundlegende SAML-Konfiguration aus, um die Einstellungen zu bearbeiten.

   

5. Wenn Sie über die Metadatendatei des Dienstanbieters verfügen, führen Sie im Abschnitt "Grundlegende SAML-Konfiguration " die folgenden Schritte aus:

   a) Wählen Sie " Metadatendatei hochladen" aus.

   b. Wählen Sie das Ordnerlogo aus, um die Metadatendatei auszuwählen, die im Abschnitt "Konfigurieren von AWS IAM Identity Center SSO" zum Herunterladen erläutert wird, und wählen Sie "Hinzufügen" aus.

   

   c. Nachdem die Metadatendatei erfolgreich hochgeladen wurde, werden die Werte "Id" und "Antwort-URL " im Abschnitt "Grundlegende SAML-Konfiguration" automatisch ausgefüllt.

   Hinweis

   Wenn die Werte "Bezeichner" und "Antwort-URL " nicht automatisch ausgefüllt werden, füllen Sie die Werte entsprechend Ihrer Anforderung manuell aus.

   Hinweis

   Beim Ändern des Identitätsanbieters in AWS (d. h. von AD zu externen Anbietern wie Microsoft Entra ID) ändern sich die AWS-Metadaten und müssen erneut in Azure für SSO geladen werden, damit es ordnungsgemäß funktioniert.

6. Wenn Sie nicht über die Metadatendatei des Dienstanbieters verfügen, führen Sie die folgenden Schritte im Abschnitt "Grundlegende SAML-Konfiguration " aus, wenn Sie die Anwendung im initiierten IDP-Modus konfigurieren möchten, führen Sie die folgenden Schritte aus:

   a) Geben Sie im Textfeld Bezeichner eine URL mit dem folgenden Muster ein: https://<REGION>.signin.aws.amazon.com/platform/saml/<ID>

   b. Geben Sie im Textfeld "Antwort-URL " eine URL mit dem folgenden Muster ein: https://<REGION>.signin.aws.amazon.com/platform/saml/acs/<ID>

7. Wählen Sie "Zusätzliche URLs festlegen" aus, und führen Sie den folgenden Schritt aus, wenn Sie die Anwendung im initiierten SP-Modus konfigurieren möchten:

   Geben Sie im Textfeld "Anmelde-URL " eine URL mit dem folgenden Muster ein: https://portal.sso.<REGION>.amazonaws.com/saml/assertion/<ID>

   Hinweis

   Diese Werte sind nicht real. Aktualisieren Sie diese Werte mit dem tatsächlichen Bezeichner, der Antwort-URL und der Anmelde-URL. Wenden Sie sich an das AWS IAM Identity Center Client-Supportteam , um diese Werte zu erhalten. Sie können auch auf die Muster verweisen, die im Abschnitt "Grundlegende SAML-Konfiguration " angezeigt werden.

8. Die AWS IAM Identity Center-Anwendung erwartet die SAML-Assertionen in einem bestimmten Format. Daher müssen Sie Ihrer Konfiguration der SAML-Tokenattribute benutzerdefinierte Attributzuordnungen hinzufügen. Der folgende Screenshot zeigt die Liste der Standardattribute.

   

   Hinweis

   Wenn ABAC in AWS IAM Identity Center aktiviert ist, können die zusätzlichen Attribute als Sitzungstags direkt an die AWS-Konten übergeben werden.

9. Suchen Sie auf der Seite "Einmaliges Anmelden mit SAML einrichten " im Abschnitt "SAML-Signaturzertifikat " den XML-Code für Verbundmetadaten , und wählen Sie "Herunterladen " aus, um das Zertifikat herunterzuladen und auf Ihrem Computer zu speichern.

   

10. Kopieren Sie im Abschnitt "AWS IAM Identity Center einrichten " die entsprechenden URLs basierend auf Ihrer Anforderung.

    

Erstellen und Zuweisen eines Microsoft Entra-Testbenutzers

Befolgen Sie die Richtlinien im Schnellstart zum Erstellen und Zuweisen eines Benutzerkontos, um ein Testbenutzerkonto namens B.Simon zu erstellen.

Konfigurieren des einmaligen Anmeldens von AWS IAM Identity Center

1. Melden Sie sich in einem anderen Webbrowserfenster bei der AWS IAM Identity Center-Unternehmenswebsite als Administrator an.

2. Wechseln Sie zu den Diensten –> Security, Identity, & Compliance –> AWS IAM Identity Center.

3. Wählen Sie im linken Navigationsbereich "Einstellungen" aus.

4. Suchen Sie auf der Seite "Einstellungen " die Option "Identitätsquelle", wählen Sie das Dropdownmenü "Aktionen " und dann " Identitätsquelle ändern" aus.

   

5. Wählen Sie auf der Seite "Identitätsquelle ändern" die Option "Externer Identitätsanbieter" aus.

   

6. Führen Sie die folgenden Schritte im Abschnitt "Konfigurieren des externen Identitätsanbieters " aus:

   

   a) Suchen Sie im Abschnitt " Metadaten des Dienstanbieters " nach AWS SSO SAML-Metadaten, wählen Sie " Metadatendatei herunterladen" aus, um die Metadatendatei herunterzuladen und auf Ihrem Computer zu speichern und diese Metadatendatei zum Hochladen im Azure-Portal zu verwenden.

   b. Kopieren Sie den URL-Wert der AWS-Zugriffsportalanmeldung , fügen Sie diesen Wert in das Textfeld "Anmelde-URL " im Abschnitt "Grundlegende SAML-Konfiguration" ein.

   c. Wählen Sie im Abschnitt "Metadaten des Identitätsanbieters" die Option "Datei auswählen" aus, um die metadatendatei hochzuladen, die Sie heruntergeladen haben.

   d. Wählen Sie "Weiter" aus: Überprüfen.

7. Geben Sie im Textfeld ACCEPT ein, um die Identitätsquelle zu ändern.

   

8. Wählen Sie " Identitätsquelle ändern" aus.

Erstellen eines AWS IAM Identity Center-Testbenutzers

1. Öffnen Sie die AWS IAM Identity Center-Konsole.

2. Wählen Sie im linken Navigationsbereich "Benutzer" aus.

3. Wählen Sie auf der Seite "Benutzer" die Option "Benutzer hinzufügen" aus.

4. Führen Sie auf der Seite „Add user“ (Benutzer hinzufügen) die folgenden Schritte aus:

   a) Geben Sie im Feld "Benutzername " B.Simon ein.

   b. Geben Sie im Feld "E-Mail-Adresse " die Zeichenfolge ein username@companydomain.extension. Beispiel: B.Simon@contoso.com.

   c. Geben Sie im Feld "Bestätigte E-Mail-Adresse " die E-Mail-Adresse aus dem vorherigen Schritt erneut ein.

   d. Geben Sie im Feld „First name“ (Vorname) Britta ein.

   e. Geben Sie im Feld „Last name“ (Nachname) Simon ein.

   f. Geben Sie im Feld „Display name“ (Anzeigename) B.Simon ein.

   g. Wählen Sie "Weiter" und dann erneut "Weiter" aus.

   Hinweis

   Stellen Sie sicher, dass der in AWS IAM Identity Center eingegebene Benutzername und die E-Mail-Adresse mit dem Anmeldenamen des Benutzers/der Benutzerin in Microsoft Entra übereinstimmen. Auf diese Weise können Sie Authentifizierungsprobleme vermeiden.

5. Wählen Sie "Benutzer hinzufügen" aus.

6. Als Nächstes weisen Sie den Benutzer Ihrem AWS-Konto zu. Wählen Sie dazu im linken Navigationsbereich der AWS IAM Identity Center-Konsole AWS-Konten aus.

7. Auf der Seite „AWS accounts“ (AWS-Konten) wählen Sie die Registerkarte Ihrer AWS-Organisation aus und aktivieren das Kontrollkästchen neben dem AWS-Konto, dem Sie den Benutzer zuweisen möchten. Wählen Sie dann " Benutzer zuweisen" aus.

8. Aktivieren Sie auf der Seite „Assign Users“ (Benutzer zuweisen) das Kontrollkästchen neben „B.Simon“. Wählen Sie dann "Weiter: Berechtigungssätze" aus.

9. Aktivieren Sie unterhalb des Abschnitts zum Auswählen von Berechtigungssätzen das Kontrollkästchen neben dem Berechtigungssatz, den Sie B.Simon zuweisen möchten. Wenn Sie nicht über einen vorhandenen Berechtigungssatz verfügen, wählen Sie " Neuen Berechtigungssatz erstellen" aus.

   Hinweis

   Berechtigungen definieren die Zugriffsebene, über die Benutzer und Gruppen für ein AWS-Konto verfügen. Weitere Informationen zu Berechtigungssätzen finden Sie auf der Seite "AWS IAM Identity Center Multi Account Permissions" .

10. Wählen Sie "Fertig stellen" aus.

Hinweis

AWS IAM Identity Center unterstützt auch die automatische Benutzerbereitstellung. Hier finden Sie weitere Details zum Konfigurieren der automatischen Benutzerbereitstellung.

Testen des einmaligen Anmeldens (SSO)

In diesem Abschnitt testen Sie die Microsoft Entra-Konfiguration für einmaliges Anmelden mit den folgenden Optionen.

SP-initiiert:

• Wählen Sie "Diese Anwendung testen" aus, leitet diese Option zur ANMELDE-URL des AWS IAM Identity Center um, in der Sie den Anmeldefluss initiieren können.

• Navigieren Sie direkt zur Anmelde-URL für AWS IAM Identity Center, und initiieren Sie den Anmeldeflow.

IDP-initiiert:

• Wählen Sie "Diese Anwendung testen" aus, und Sie sollten automatisch beim AWS IAM Identity Center angemeldet sein, für das Sie das SSO einrichten.

Sie können auch den Microsoft-Bereich „Meine Apps“ verwenden, um die Anwendung in einem beliebigen Modus zu testen. Wenn Sie die Kachel AWS IAM Identity Center in den "Meine Apps" auswählen, werden Sie, wenn sie im SP-Modus konfiguriert sind, zur Anmeldeseite umgeleitet, um den Anmeldefluss zu initiieren, und wenn sie im IDP-Modus konfiguriert sind, sollten Sie automatisch beim AWS IAM Identity Center angemeldet sein, für das Sie das SSO einrichten. Weitere Informationen zu "Meine Apps" finden Sie in der Einführung in "Meine Apps".

Verwandte Inhalte

Nach dem Konfigurieren von AWS IAM Identity Center können Sie die Sitzungssteuerung erzwingen, die in Echtzeit vor der Exfiltration und Infiltration vertraulicher Unternehmensdaten schützt. Die Sitzungssteuerung basiert auf bedingtem Zugriff. Erfahren Sie, wie Sie die Sitzungssteuerung mit Microsoft Defender für Cloud-Apps erzwingen.