Esercitazione: Configurare AWS IAM Identity Center per il provisioning utenti automatico
Questa esercitazione descrive i passaggi da eseguire sia in AWS IAM Identity Center (successore dell'accesso Single Sign-On di AWS) che in Microsoft Entra ID per configurare il provisioning utenti automatico. Se configurato, Microsoft Entra ID effettua automaticamente il provisioning e il deprovisioning di utenti e gruppi in AWS IAM Identity Center usando il servizio di provisioning Microsoft Entra. Per informazioni importanti sul funzionamento di questo servizio e sulle domande frequenti, vedere Automatizzare il provisioning e il deprovisioning degli utenti nelle applicazioni SaaS con Microsoft Entra ID.
Funzionalità supportate
- Creare utenti in AWS IAM Identity Center
- Rimuovere gli utenti in AWS IAM Identity Center quando non richiedono più l'accesso
- Mantenere sincronizzati gli attributi utente tra Microsoft Entra ID e AWS IAM Identity Center
- Effettuare il provisioning di gruppi e appartenenze a gruppi in AWS IAM Identity Center
- IAM Identity Center per AWS IAM Identity Center
Prerequisiti
Per lo scenario descritto in questa esercitazione si presuppone che l'utente disponga dei prerequisiti seguenti:
- Un tenant di Microsoft Entra
- Uno dei ruoli seguenti: Application Amministrazione istrator, Cloud Application Amministrazione istrator o Application Owner.
- Una connessione SAML dall'account Microsoft Entra a AWS IAM Identity Center, come descritto in Esercitazione
Passaggio 1: Pianificare la distribuzione del provisioning
- Vedere le informazioni su come funziona il servizio di provisioning.
- Determinare chi è nell'ambito per il provisioning.
- Determinare i dati da mappare tra Microsoft Entra ID e AWS IAM Identity Center.
Passaggio 2: Configurare AWS IAM Identity Center per supportare il provisioning con Microsoft Entra ID
Aprire aws IAM Identity Center.
Scegliere Impostazioni nel riquadro di spostamento a sinistra
In Impostazioni fare clic su Abilita nella sezione Provisioning automatico.
Nella finestra di dialogo Provisioning automatico in ingresso copiare e salvare l'endpoint SCIM e il token di accesso (visibili dopo aver fatto clic su Mostra token). Questi valori vengono immessi nel campo URL tenant e Token segreto nella scheda Provisioning dell'applicazione AWS IAM Identity Center.
Passaggio 3: Aggiungere AWS IAM Identity Center dalla raccolta di applicazioni Microsoft Entra
Aggiungere AWS IAM Identity Center dalla raccolta di applicazioni Microsoft Entra per iniziare a gestire il provisioning in AWS IAM Identity Center. Se aws IAM Identity Center è stato configurato in precedenza per l'accesso SSO, è possibile usare la stessa applicazione. Per altre informazioni su come aggiungere un'applicazione dalla raccolta, fare clic qui.
Passaggio 4: Definire chi è nell'ambito per il provisioning
Il servizio di provisioning Di Microsoft Entra consente di definire l'ambito di cui è stato effettuato il provisioning in base all'assegnazione all'applicazione e o in base agli attributi dell'utente/gruppo. Se si sceglie di definire l'ambito di cui è stato effettuato il provisioning nell'app in base all'assegnazione, è possibile usare la procedura seguente per assegnare utenti e gruppi all'applicazione. Se si sceglie di definire l'ambito di chi viene effettuato il provisioning in base esclusivamente agli attributi dell'utente o del gruppo, è possibile usare un filtro di ambito come descritto qui.
Iniziare con pochi elementi. Eseguire il test con un piccolo set di utenti e gruppi prima di eseguire la distribuzione a tutti. Quando l'ambito per il provisioning è impostato su utenti e gruppi assegnati, è possibile controllarlo assegnando uno o due utenti o gruppi all'app. Quando l'ambito è impostato su tutti gli utenti e i gruppi, è possibile specificare un filtro di ambito basato su attributi.
Se sono necessari ruoli aggiuntivi, è possibile aggiornare il manifesto dell'applicazione per aggiungere nuovi ruoli.
Passaggio 5: Configurare il provisioning utenti automatico in AWS IAM Identity Center
Questa sezione illustra la procedura per configurare il servizio di provisioning Di Microsoft Entra per creare, aggiornare e disabilitare utenti e/o gruppi in TestApp in base alle assegnazioni di utenti e/o gruppi in Microsoft Entra ID.
Per configurare il provisioning utenti automatico per AWS IAM Identity Center in Microsoft Entra ID:
Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.
Passare a Applicazioni di identità>Applicazioni aziendali>
Nell'elenco delle applicazioni selezionare AWS IAM Identity Center.
Selezionare la scheda Provisioning.
Impostare Modalità di provisioning su Automatico.
Nella sezione Amministrazione Credentials (Credenziali) immettere l'URL del tenant di AWS IAM Identity Center e il token segreto recuperato in precedenza nel passaggio 2. Fare clic su Test Connessione ion per assicurarsi che Microsoft Entra ID possa connettersi a AWS IAM Identity Center.
Nel campo Messaggio di posta elettronica di notifica immettere l'indirizzo di posta elettronica di una persona o un gruppo che riceverà le notifiche di errore relative al provisioning e selezionare la casella di controllo Invia una notifica di posta elettronica in caso di errore.
Seleziona Salva.
Nella sezione Mapping selezionare Synchronize Microsoft Entra users to AWS IAM Identity Center (Sincronizza utenti di Microsoft Entra con AWS IAM Identity Center).
Esaminare gli attributi utente sincronizzati da Microsoft Entra ID a AWS IAM Identity Center nella sezione Mapping degli attributi. Gli attributi selezionati come proprietà corrispondenti vengono usati per trovare le corrispondenze con gli account utente in AWS IAM Identity Center per le operazioni di aggiornamento. Se si sceglie di modificare l'attributo di destinazione corrispondente, è necessario assicurarsi che l'API di AWS IAM Identity Center supporti il filtro degli utenti in base a tale attributo. Selezionare il pulsante Salva per eseguire il commit delle modifiche.
Attributo Type Supportato per il filtro userName String ✓ active Booleano displayName String title String emails[type eq "work"].value String preferredLanguage String name.givenName String name.familyName String name.formatted String addresses[type eq "work"].formatted String addresses[type eq "work"].streetAddress String addresses[type eq "work"].locality String addresses[type eq "work"].region String addresses[type eq "work"].postalCode String addresses[type eq "work"].country String phoneNumbers[type eq "work"].value String externalId String locale String timezone String urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber String urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department String urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division String urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:costCenter String urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization String urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager Riferimento Nella sezione Mapping selezionare Synchronize Microsoft Entra groups to AWS IAM Identity Center (Sincronizza gruppi di Microsoft Entra con AWS IAM Identity Center).
Esaminare gli attributi del gruppo sincronizzati da Microsoft Entra ID a AWS IAM Identity Center nella sezione Mapping degli attributi. Gli attributi selezionati come proprietà corrispondenti vengono usati per trovare le corrispondenze con i gruppi in AWS IAM Identity Center per le operazioni di aggiornamento. Selezionare il pulsante Salva per eseguire il commit delle modifiche.
Attributo Type Supportato per il filtro displayName String ✓ externalId String membri Riferimento Per configurare i filtri di ambito, fare riferimento alle istruzioni fornite nell'esercitazione sui filtri per la definizione dell'ambito.
Per abilitare il servizio di provisioning di Microsoft Entra per AWS IAM Identity Center, impostare Stato del provisioning su Sì nella sezione Impostazioni.
Definire gli utenti e/o i gruppi di cui si vuole eseguire il provisioning in AWS IAM Identity Center scegliendo i valori desiderati in Ambito nella sezione Impostazioni.
Quando si è pronti per il provisioning, fare clic su Salva.
L'operazione avvia il ciclo di sincronizzazione iniziale di tutti gli utenti e i gruppi definiti in Ambito nella sezione Impostazioni. Il ciclo iniziale richiede più tempo rispetto ai cicli successivi, che si verificano approssimativamente ogni 40 minuti, purché il servizio di provisioning di Microsoft Entra sia in esecuzione.
Passaggio 6: Monitorare la distribuzione
Dopo aver configurato il provisioning, usare le risorse seguenti per monitorare la distribuzione:
- Usare i log di provisioning per determinare gli utenti di cui è stato eseguito il provisioning correttamente o in modo non riuscito
- Controllare l'indicatore di stato per visualizzare lo stato del ciclo di provisioning e quanto manca al completamento.
- Se la configurazione del provisioning sembra essere in uno stato non integro, l'applicazione entra in quarantena. Per altre informazioni sugli stati di quarantena, fare clic qui.
Accesso JIT (Just-In-Time) alle applicazioni con PIM per i gruppi
Con PIM per i gruppi è possibile fornire l'accesso JIT ai gruppi in Amazon Web Services e ridurre il numero di utenti con accesso permanente ai gruppi con privilegi in AWS.
Configurare l'applicazione aziendale per l'accesso Single Sign-On e il provisioning
- Aggiungere AWS IAM Identity Center al tenant, configurarlo per il provisioning come descritto nell'esercitazione precedente e avviare il provisioning.
- Configurare l'accesso Single Sign-On per AWS IAM Identity Center.
- Creare un gruppo che fornirà a tutti gli utenti l'accesso all'applicazione.
- Assegnare il gruppo all'applicazione AWS Identity Center.
- Assegnare l'utente di test come membro diretto del gruppo creato nel passaggio precedente oppure fornire loro l'accesso al gruppo tramite un pacchetto di accesso. Questo gruppo può essere usato per l'accesso permanente non amministratore in AWS.
Abilitare PIM per i gruppi
- Creare un secondo gruppo in Microsoft Entra ID. Questo gruppo fornirà l'accesso alle autorizzazioni di amministratore in AWS.
- Portare il gruppo sotto la gestione in Microsoft Entra PIM.
- Assegnare l'utente di test come idoneo per il gruppo in PIM con il ruolo impostato su membro.
- Assegnare il secondo gruppo all'applicazione AWS IAM Identity Center.
- Usare il provisioning su richiesta per creare il gruppo in AWS IAM Identity Center.
- Accedere a AWS IAM Identity Center e assegnare al secondo gruppo le autorizzazioni necessarie per eseguire le attività di amministratore.
Ora qualsiasi utente finale che è stato reso idoneo per il gruppo in PIM può ottenere l'accesso JIT al gruppo in AWS attivando l'appartenenza al gruppo.
Considerazioni essenziali
- Quanto tempo è necessario per avere un utente di cui è stato effettuato il provisioning nell'applicazione?:
- Quando un utente viene aggiunto a un gruppo in Microsoft Entra ID all'esterno dell'attivazione dell'appartenenza al gruppo tramite Microsoft Entra ID Privileged Identity Management (PIM):
- Il provisioning dell'appartenenza al gruppo viene effettuato nell'applicazione durante il ciclo di sincronizzazione successivo. Il ciclo di sincronizzazione viene eseguito ogni 40 minuti.
- Quando un utente attiva l'appartenenza al gruppo in Microsoft Entra ID PIM:
- Viene effettuato il provisioning dell'appartenenza al gruppo in 2-10 minuti. Quando si verifica una frequenza elevata di richieste contemporaneamente, le richieste vengono limitate a una velocità di cinque richieste per 10 secondi.
- Per i primi cinque utenti entro un periodo di 10 secondi che attivano l'appartenenza a un gruppo specifico per un'applicazione specifica, l'appartenenza al gruppo viene sottoposto a provisioning nell'applicazione entro 2-10 minuti.
- Per il sesto utente e superiore entro un periodo di 10 secondi che attiva l'appartenenza al gruppo per un'applicazione specifica, viene effettuato il provisioning dell'appartenenza al gruppo all'applicazione nel ciclo di sincronizzazione successivo. Il ciclo di sincronizzazione viene eseguito ogni 40 minuti. I limiti di limitazione sono per ogni applicazione aziendale.
- Quando un utente viene aggiunto a un gruppo in Microsoft Entra ID all'esterno dell'attivazione dell'appartenenza al gruppo tramite Microsoft Entra ID Privileged Identity Management (PIM):
- Se l'utente non è in grado di accedere al gruppo necessario in AWS, consultare i suggerimenti per la risoluzione dei problemi seguenti, i log di PIM e i log di provisioning per assicurarsi che l'appartenenza al gruppo sia stata aggiornata correttamente. A seconda della modalità di progettazione dell'applicazione di destinazione, l'applicazione di destinazione potrebbe richiedere tempo aggiuntivo per rendere effettiva l'appartenenza al gruppo nell'applicazione.
- È possibile creare avvisi per gli errori usando Monitoraggio di Azure.
- La disattivazione viene eseguita durante il normale ciclo incrementale. Non viene elaborato immediatamente tramite il provisioning su richiesta.
Suggerimenti per la risoluzione dei problemi
Attributi mancanti
Quando si effettua il provisioning di un utente in AWS, è necessario che abbiano gli attributi seguenti
- firstName
- lastName
- displayName
- userName
Gli utenti che non dispongono di questi attributi avranno esito negativo con l'errore seguente
Attributi multivalore
AWS non supporta gli attributi multivalore seguenti:
- Numeri di telefono
Se si tenta di eseguire il flusso precedente come attributi multivalore, verrà visualizzato il messaggio di errore seguente
Esistono due modi per risolvere questo problema
- Verificare che l'utente abbia un solo valore per phoneNumber/email
- Rimuovere gli attributi duplicati. Ad esempio, la presenza di due attributi diversi di cui è stato eseguito il mapping da Microsoft Entra ID a "phoneNumber___" sul lato AWS genererebbe l'errore se entrambi gli attributi hanno valori in Microsoft Entra ID. Solo se è stato eseguito il mapping di un attributo a un attributo "phoneNumber____" risolverebbe l'errore.
Caratteri non validi
Attualmente AWS IAM Identity Center non consente altri caratteri supportati da Microsoft Entra ID come tab (\t), nuova riga (\n), ritorno a capo (\r) e caratteri come " <|>|;||:%".
È anche possibile consultare i suggerimenti per la risoluzione dei problemi di AWS IAM Identity Center qui per altri suggerimenti per la risoluzione dei problemi
Risorse aggiuntive
- Gestione del provisioning degli account utente per app aziendali
- Che cos'è l'accesso alle applicazioni e il Centro identità IAM con Microsoft Entra ID?