Esercitazione: Configurare AWS IAM Identity Center per il provisioning utenti automatico

  • Articolo

Questa esercitazione descrive i passaggi da eseguire sia in AWS IAM Identity Center (successore dell'accesso Single Sign-On di AWS) che in Microsoft Entra ID per configurare il provisioning utenti automatico. Se configurato, Microsoft Entra ID effettua automaticamente il provisioning e il deprovisioning di utenti e gruppi in AWS IAM Identity Center usando il servizio di provisioning Microsoft Entra. Per informazioni importanti sul funzionamento di questo servizio e sulle domande frequenti, vedere Automatizzare il provisioning e il deprovisioning degli utenti nelle applicazioni SaaS con Microsoft Entra ID.

Funzionalità supportate

  • Creare utenti in AWS IAM Identity Center
  • Rimuovere gli utenti in AWS IAM Identity Center quando non richiedono più l'accesso
  • Mantenere sincronizzati gli attributi utente tra Microsoft Entra ID e AWS IAM Identity Center
  • Effettuare il provisioning di gruppi e appartenenze a gruppi in AWS IAM Identity Center
  • IAM Identity Center per AWS IAM Identity Center

Prerequisiti

Per lo scenario descritto in questa esercitazione si presuppone che l'utente disponga dei prerequisiti seguenti:

  • Un tenant di Microsoft Entra
  • Un account utente in Microsoft Entra ID con autorizzazione per configurare il provisioning, ad esempio Application Amministrazione istrator, Cloud Application Administrator, Application Owner o Global Amministrazione istrator.
  • Una connessione SAML dall'account Microsoft Entra a AWS IAM Identity Center, come descritto in Esercitazione

Passaggio 1: Pianificare la distribuzione del provisioning

  1. Vedere le informazioni su come funziona il servizio di provisioning.
  2. Determinare chi è nell'ambito per il provisioning.
  3. Determinare i dati da mappare tra Microsoft Entra ID e AWS IAM Identity Center.

Passaggio 2: Configurare AWS IAM Identity Center per supportare il provisioning con Microsoft Entra ID

  1. Aprire aws IAM Identity Center.

  2. Scegliere Impostazioni nel riquadro di spostamento a sinistra

  3. In Impostazioni fare clic su Abilita nella sezione Provisioning automatico.

    Screenshot of enabling automatic provisioning.

  4. Nella finestra di dialogo Provisioning automatico in ingresso copiare e salvare l'endpoint SCIM e il token di accesso (visibili dopo aver fatto clic su Mostra token). Questi valori vengono immessi nel campo URL tenant e Token segreto nella scheda Provisioning dell'applicazione AWS IAM Identity Center. Screenshot of extracting provisioning configurations.

Aggiungere AWS IAM Identity Center dalla raccolta di applicazioni Microsoft Entra per iniziare a gestire il provisioning in AWS IAM Identity Center. Se aws IAM Identity Center è stato configurato in precedenza per l'accesso SSO, è possibile usare la stessa applicazione. Per altre informazioni su come aggiungere un'applicazione dalla raccolta, fare clic qui.

Passaggio 4: Definire chi è nell'ambito per il provisioning

Il servizio di provisioning Di Microsoft Entra consente di definire l'ambito di cui è stato effettuato il provisioning in base all'assegnazione all'applicazione e o in base agli attributi dell'utente/gruppo. Se si sceglie di definire l'ambito di cui è stato effettuato il provisioning nell'app in base all'assegnazione, è possibile usare la procedura seguente per assegnare utenti e gruppi all'applicazione. Se si sceglie di definire l'ambito di chi viene effettuato il provisioning in base esclusivamente agli attributi dell'utente o del gruppo, è possibile usare un filtro di ambito come descritto qui.

  • Iniziare con pochi elementi. Eseguire il test con un piccolo set di utenti e gruppi prima di eseguire la distribuzione a tutti. Quando l'ambito per il provisioning è impostato su utenti e gruppi assegnati, è possibile controllarlo assegnando uno o due utenti o gruppi all'app. Quando l'ambito è impostato su tutti gli utenti e i gruppi, è possibile specificare un filtro di ambito basato su attributi.

  • Se sono necessari ruoli aggiuntivi, è possibile aggiornare il manifesto dell'applicazione per aggiungere nuovi ruoli.

Passaggio 5: Configurare il provisioning utenti automatico in AWS IAM Identity Center

Questa sezione illustra la procedura per configurare il servizio di provisioning Di Microsoft Entra per creare, aggiornare e disabilitare utenti e/o gruppi in TestApp in base alle assegnazioni di utenti e/o gruppi in Microsoft Entra ID.

Per configurare il provisioning utenti automatico per AWS IAM Identity Center in Microsoft Entra ID:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un'applicazione cloud Amministrazione istrator.

  2. Passare a Applicazioni di identità>Applicazioni aziendali>

    Enterprise applications blade

  3. Nell'elenco delle applicazioni selezionare AWS IAM Identity Center.

    Screenshot of the AWS IAM Identity Center link in the Applications list.

  4. Selezionare la scheda Provisioning.

    Provisioning tab

  5. Impostare Modalità di provisioning su Automatico.

    Provisioning tab automatic

  6. Nella sezione Amministrazione Credentials (Credenziali) immettere l'URL del tenant di AWS IAM Identity Center e il token segreto recuperato in precedenza nel passaggio 2. Fare clic su Test Connessione ion per assicurarsi che Microsoft Entra ID possa connettersi a AWS IAM Identity Center.

    Token

  7. Nel campo Messaggio di posta elettronica di notifica immettere l'indirizzo di posta elettronica di una persona o un gruppo che riceverà le notifiche di errore relative al provisioning e selezionare la casella di controllo Invia una notifica di posta elettronica in caso di errore.

    Notification Email

  8. Seleziona Salva.

  9. Nella sezione Mapping selezionare Synchronize Microsoft Entra users to AWS IAM Identity Center (Sincronizza utenti di Microsoft Entra con AWS IAM Identity Center).

  10. Esaminare gli attributi utente sincronizzati da Microsoft Entra ID a AWS IAM Identity Center nella sezione Mapping degli attributi. Gli attributi selezionati come proprietà corrispondenti vengono usati per trovare le corrispondenze con gli account utente in AWS IAM Identity Center per le operazioni di aggiornamento. Se si sceglie di modificare l'attributo di destinazione corrispondente, è necessario assicurarsi che l'API di AWS IAM Identity Center supporti il filtro degli utenti in base a tale attributo. Selezionare il pulsante Salva per eseguire il commit delle modifiche.

    Attributo Type Supportato per il filtro
    userName String
    active Booleano
    displayName String
    title String
    emails[type eq "work"].value String
    preferredLanguage String
    name.givenName String
    name.familyName String
    name.formatted String
    addresses[type eq "work"].formatted String
    addresses[type eq "work"].streetAddress String
    addresses[type eq "work"].locality String
    addresses[type eq "work"].region String
    addresses[type eq "work"].postalCode String
    addresses[type eq "work"].country String
    phoneNumbers[type eq "work"].value String
    externalId String
    locale String
    timezone String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:costCenter String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager Riferimento

  11. Nella sezione Mapping selezionare Synchronize Microsoft Entra groups to AWS IAM Identity Center (Sincronizza gruppi di Microsoft Entra con AWS IAM Identity Center).

  12. Esaminare gli attributi del gruppo sincronizzati da Microsoft Entra ID a AWS IAM Identity Center nella sezione Mapping degli attributi. Gli attributi selezionati come proprietà corrispondenti vengono usati per trovare le corrispondenze con i gruppi in AWS IAM Identity Center per le operazioni di aggiornamento. Selezionare il pulsante Salva per eseguire il commit delle modifiche.

    Attributo Type Supportato per il filtro
    displayName String
    externalId String
    membri Riferimento

  13. Per configurare i filtri di ambito, fare riferimento alle istruzioni fornite nell'esercitazione sui filtri per la definizione dell'ambito.

  14. Per abilitare il servizio di provisioning di Microsoft Entra per AWS IAM Identity Center, impostare Stato del provisioning su Sì nella sezione Impostazioni.

    Provisioning Status Toggled On

  15. Definire gli utenti e/o i gruppi di cui si vuole eseguire il provisioning in AWS IAM Identity Center scegliendo i valori desiderati in Ambito nella sezione Impostazioni.

    Provisioning Scope

  16. Quando si è pronti per il provisioning, fare clic su Salva.

    Saving Provisioning Configuration

L'operazione avvia il ciclo di sincronizzazione iniziale di tutti gli utenti e i gruppi definiti in Ambito nella sezione Impostazioni. Il ciclo iniziale richiede più tempo rispetto ai cicli successivi, che si verificano approssimativamente ogni 40 minuti, purché il servizio di provisioning di Microsoft Entra sia in esecuzione.

Passaggio 6: Monitorare la distribuzione

Dopo aver configurato il provisioning, usare le risorse seguenti per monitorare la distribuzione:

  1. Usare i log di provisioning per determinare gli utenti di cui è stato eseguito il provisioning correttamente o in modo non riuscito
  2. Controllare l'indicatore di stato per visualizzare lo stato del ciclo di provisioning e quanto manca al completamento.
  3. Se la configurazione del provisioning sembra essere in uno stato non integro, l'applicazione entra in quarantena. Per altre informazioni sugli stati di quarantena, fare clic qui.

Accesso JIT (Just-In-Time) alle applicazioni con PIM per i gruppi

Con PIM per i gruppi è possibile fornire l'accesso JIT ai gruppi in Amazon Web Services e ridurre il numero di utenti con accesso permanente ai gruppi con privilegi in AWS.

Configurare l'applicazione aziendale per l'accesso Single Sign-On e il provisioning

  1. Aggiungere AWS IAM Identity Center al tenant, configurarlo per il provisioning come descritto nell'esercitazione precedente e avviare il provisioning.
  2. Configurare l'accesso Single Sign-On per AWS IAM Identity Center.
  3. Creare un gruppo che fornirà a tutti gli utenti l'accesso all'applicazione.
  4. Assegnare il gruppo all'applicazione AWS Identity Center.
  5. Assegnare l'utente di test come membro diretto del gruppo creato nel passaggio precedente oppure fornire loro l'accesso al gruppo tramite un pacchetto di accesso. Questo gruppo può essere usato per l'accesso permanente non amministratore in AWS.

Abilitare PIM per i gruppi

  1. Creare un secondo gruppo in Microsoft Entra ID. Questo gruppo fornirà l'accesso alle autorizzazioni di amministratore in AWS.
  2. Portare il gruppo sotto la gestione in Microsoft Entra PIM.
  3. Assegnare l'utente di test come idoneo per il gruppo in PIM con il ruolo impostato su membro.
  4. Assegnare il secondo gruppo all'applicazione AWS IAM Identity Center.
  5. Usare il provisioning su richiesta per creare il gruppo in AWS IAM Identity Center.
  6. Accedere a AWS IAM Identity Center e assegnare al secondo gruppo le autorizzazioni necessarie per eseguire le attività di amministratore.

Ora qualsiasi utente finale che è stato reso idoneo per il gruppo in PIM può ottenere l'accesso JIT al gruppo in AWS attivando l'appartenenza al gruppo.

Considerazioni essenziali

  • Quanto tempo è necessario per avere un utente di cui è stato effettuato il provisioning nell'applicazione?:
    • Quando un utente viene aggiunto a un gruppo in Microsoft Entra ID all'esterno dell'attivazione dell'appartenenza al gruppo tramite Microsoft Entra ID Privileged Identity Management (PIM):
      • Il provisioning dell'appartenenza al gruppo viene effettuato nell'applicazione durante il ciclo di sincronizzazione successivo. Il ciclo di sincronizzazione viene eseguito ogni 40 minuti.
    • Quando un utente attiva l'appartenenza al gruppo in Microsoft Entra ID PIM:
      • Viene effettuato il provisioning dell'appartenenza al gruppo in 2-10 minuti. Quando si verifica una frequenza elevata di richieste contemporaneamente, le richieste vengono limitate a una velocità di cinque richieste per 10 secondi.
      • Per i primi cinque utenti entro un periodo di 10 secondi che attivano l'appartenenza a un gruppo specifico per un'applicazione specifica, l'appartenenza al gruppo viene sottoposto a provisioning nell'applicazione entro 2-10 minuti.
      • Per il sesto utente e superiore entro un periodo di 10 secondi che attiva l'appartenenza al gruppo per un'applicazione specifica, viene effettuato il provisioning dell'appartenenza al gruppo all'applicazione nel ciclo di sincronizzazione successivo. Il ciclo di sincronizzazione viene eseguito ogni 40 minuti. I limiti di limitazione sono per ogni applicazione aziendale.
  • Se l'utente non è in grado di accedere al gruppo necessario in AWS, consultare i suggerimenti per la risoluzione dei problemi seguenti, i log di PIM e i log di provisioning per assicurarsi che l'appartenenza al gruppo sia stata aggiornata correttamente. A seconda della modalità di progettazione dell'applicazione di destinazione, l'applicazione di destinazione potrebbe richiedere tempo aggiuntivo per rendere effettiva l'appartenenza al gruppo nell'applicazione.
  • È possibile creare avvisi per gli errori usando Monitoraggio di Azure.
  • La disattivazione viene eseguita durante il normale ciclo incrementale. Non viene elaborato immediatamente tramite il provisioning su richiesta.

Suggerimenti per la risoluzione dei problemi

Attributi mancanti

Quando si effettua il provisioning di un utente in AWS, è necessario che abbiano gli attributi seguenti

  • firstName
  • lastName
  • displayName
  • userName

Gli utenti che non dispongono di questi attributi avranno esito negativo con l'errore seguente

errorcode

Attributi multivalore

AWS non supporta gli attributi multivalore seguenti:

  • email
  • Numeri di telefono

Se si tenta di eseguire il flusso precedente come attributi multivalore, verrà visualizzato il messaggio di errore seguente

errorcode2

Esistono due modi per risolvere questo problema

  1. Verificare che l'utente abbia un solo valore per phoneNumber/email
  2. Rimuovere gli attributi duplicati. Ad esempio, la presenza di due attributi diversi di cui è stato eseguito il mapping da Microsoft Entra ID a "phoneNumber___" sul lato AWS genererebbe l'errore se entrambi gli attributi hanno valori in Microsoft Entra ID. Solo se è stato eseguito il mapping di un attributo a un attributo "phoneNumber____" risolverebbe l'errore.

Caratteri non validi

Attualmente AWS IAM Identity Center non consente altri caratteri supportati da Microsoft Entra ID come tab (\t), nuova riga (\n), ritorno a capo (\r) e caratteri come " <|>|;||:%".

È anche possibile consultare i suggerimenti per la risoluzione dei problemi di AWS IAM Identity Center qui per altri suggerimenti per la risoluzione dei problemi

Risorse aggiuntive

Passaggi successivi