Configurare AWS IAM Identity Center come provider di identità (anteprima)

Se si è un cliente di Amazon Web Services (AWS) che usa aws IAM Identity Center, è possibile configurare Il Centro identità come provider di identità in Gestione autorizzazioni. La configurazione delle informazioni di AWS IAM Identity Center consente di ricevere dati più accurati per le identità in Gestione autorizzazioni.

Nota

La configurazione di AWS IAM Identity Center come provider di identità è un passaggio facoltativo. Configurando le informazioni sul provider di identità, Gestione autorizzazioni può leggere l'accesso utente e ruolo configurato in AWS IAM Identity Center. Amministrazione possono visualizzare la visualizzazione aumentata delle autorizzazioni assegnate alle identità. È possibile tornare a questi passaggi per configurare un Provider di identità in qualsiasi momento.

Come configurare AWS IAM Identity Center come provider di identità

1. Se il dashboard Agenti di raccolta dati non viene visualizzato all'avvio di Gestione autorizzazioni, selezionare Impostazioni (icona a forma di ingranaggio) e quindi selezionare la sottoscheda Agenti di raccolta dati.

2. Nel dashboard Agenti di raccolta dati selezionare AWS e quindi selezionare Crea configurazione. Se un agente di raccolta dati esiste già nell'account AWS e si vuole aggiungere l'integrazione di AWS IAM, procedere come illustrato di seguito:

   • Selezionare l'agente di raccolta dati per cui si vuole configurare AWS IAM.
   • Fare clic sui puntini di sospensione accanto allo stato dei sistemi di autorizzazione.
   • Selezionare Integrazione provider di identità.

3. Nella pagina Integrazione provider di identità (IdP) selezionare la casella per AWS IAM Identity Center.

4. Specificare i seguenti campi:

   • Area del Centro identità IAM AWS. Specificare l'area in cui è installato AWS IAM Identity Center. Tutti i dati configurati nel Centro identità IAM
     viene archiviato nell'area in cui è installato il Centro identità IAM.
   • ID account di gestione AWS
   • Ruolo account di gestione AWS

5. Selezionare Avvia modello di account di gestione. Il modello viene aperto in una nuova finestra.

6. Se lo stack di account di gestione viene creato con il modello CloudFormation come parte dei passaggi di onboarding precedenti, aggiornare lo stack eseguendo EnableSSO come true. L'esecuzione di questo comando crea un nuovo stack quando si esegue il modello di account di gestione.

L'esecuzione del modello collega i criteri AWSSSOReadOnly gestiti di AWS e i criteri personalizzati SSOPolicy appena creati al ruolo AWS IAM che consente Gestione delle autorizzazioni di Microsoft Entra di raccogliere informazioni sull'organizzazione. Nel modello vengono richiesti i dettagli seguenti. Tutti i campi sono prepopolati ed è possibile modificare i dati in base alle esigenze:

• Nome dello stack: il nome dello stack è il nome dello stack AWS per la creazione delle risorse AWS necessarie per La gestione delle autorizzazioni per raccogliere informazioni sull'organizzazione. Il valore predefinito è mciem-org-<tenant-id>.

• Parametri CFT

  • Nome del ruolo del provider OIDC: nome del provider OIDC del ruolo IAM che può assumere il ruolo. Il valore predefinito è il ruolo dell'account OIDC (come immesso in Gestione autorizzazioni).

  • Nome ruolo account organizzazione: nome del ruolo IAM. Il valore predefinito è prepopolato con il nome del ruolo account di gestione (come immesso in Microsoft Entra PM).

  • true : abilita l'accesso SSO di AWS. Il valore predefinito è true quando il modello viene avviato dalla pagina Configura provider di identità (IdP), altrimenti il valore predefinito è false.

  • ID account provider OIDC: ID account in cui viene creato il provider OIDC. Il valore predefinito è l'ID account provider OIDC (come immesso in Gestione autorizzazioni).

  • ID tenant: ID del tenant in cui viene creata l'applicazione. Il valore predefinito è tenant-id (il tenant configurato).

7. Fare clic su Avanti per rivedere e confermare le informazioni immesse.

8. Fare clic su Verifica ora e salva.

Passaggi successivi

• Per informazioni su come collegare e scollegare le identità AWS per le autorizzazioni, vedere Collegare e scollegare criteri per le identità AWS.