Zelfstudie: AWS IAM Identity Center configureren voor automatische inrichting van gebruikers

In deze zelfstudie worden de stappen beschreven die u moet uitvoeren in zowel AWS IAM Identity Center (opvolgend aan eenmalige aanmelding bij AWS) als Microsoft Entra ID voor het configureren van automatische inrichting van gebruikers. Wanneer deze is geconfigureerd, richt Microsoft Entra ID gebruikers en groepen automatisch in op AWS IAM Identity Center met behulp van de Microsoft Entra-inrichtingsservice. Voor belangrijke informatie over wat deze service doet, hoe deze werkt en veelgestelde vragen, raadpleegt u Automate user provisioning and deprovisioning to SaaS applications with Microsoft Entra ID.

Ondersteunde mogelijkheden

• Gebruikers maken in AWS IAM Identity Center
• Gebruikers verwijderen in AWS IAM Identity Center wanneer ze geen toegang meer nodig hebben
• Gebruikerskenmerken gesynchroniseerd houden tussen Microsoft Entra ID en AWS IAM Identity Center
• Groepen en groepslidmaatschappen inrichten in AWS IAM Identity Center
• IAM Identity Center naar AWS IAM Identity Center

Vereisten

In het scenario dat in deze zelfstudie wordt beschreven, wordt ervan uitgegaan dat u al beschikt over de volgende vereisten:

• Een Microsoft Entra-tenant
• Een van de volgende rollen: Application Beheer istrator, Cloud Application Beheer istrator of Toepassingseigenaar.
• Een SAML-verbinding van uw Microsoft Entra-account met AWS IAM Identity Center, zoals beschreven in de zelfstudie

Stap 1: De implementatie van uw inrichting plannen

1. Lees hoe de inrichtingsservice werkt.
2. Bepaal wie binnen het bereik van inrichting valt.
3. Bepaal welke gegevens moeten worden toegewezen tussen Microsoft Entra ID en AWS IAM Identity Center.

Stap 2: AWS IAM Identity Center configureren ter ondersteuning van inrichting met Microsoft Entra-id

1. Open het AWS IAM Identity Center.

2. Kies Instellingen in het linkernavigatiedeelvenster

3. Klik in Instellingen op Inschakelen in de sectie Automatisch inrichten.

   

4. Kopieer en sla in het dialoogvenster Voor binnenkomend automatisch inrichten het SCIM-eindpunt en het toegangstoken op (zichtbaar nadat u op Token weergeven hebt geklikt). Deze waarden worden ingevoerd in het veld Tenant-URL en Token voor geheim op het tabblad Inrichten van uw AWS IAM Identity Center-toepassing.

Stap 3: AWS IAM Identity Center toevoegen vanuit de Microsoft Entra-toepassingsgalerie

Voeg AWS IAM Identity Center toe vanuit de Galerie met Microsoft Entra-toepassingen om te beginnen met het inrichten voor AWS IAM Identity Center. Als u AWS IAM Identity Center eerder hebt ingesteld voor eenmalige aanmelding, kunt u dezelfde toepassing gebruiken. Klik hier voor meer informatie over het toevoegen van een toepassing uit de galerie.

Stap 4: Definiëren wie binnen het bereik van inrichting valt

Met de Microsoft Entra-inrichtingsservice kunt u bepalen wie is ingericht op basis van toewijzing aan de toepassing en of op basis van kenmerken van de gebruiker/groep. Als u ervoor kiest om te bepalen wie voor uw app is ingericht op basis van toewijzing, kunt u de volgende stappen gebruiken om gebruikers en groepen toe te wijzen aan de toepassing. Als u ervoor kiest om te bepalen wie alleen is ingericht op basis van kenmerken van de gebruiker of groep, kunt u een bereikfilter gebruiken, zoals hier wordt beschreven.

• Begin klein. Test de toepassing met een kleine set gebruikers en groepen voordat u de toepassing naar iedereen uitrolt. Wanneer het bereik voor inrichting is ingesteld op toegewezen gebruikers en groepen, kunt u dit beheren door een of twee gebruikers of groepen aan de app toe te wijzen. Wanneer het bereik is ingesteld op alle gebruikers en groepen, kunt u een bereikfilter op basis van kenmerken opgeven.

• Als u extra rollen nodig hebt, dan kunt u het toepassingsmanifest bijwerken om nieuwe rollen toe te voegen.

Stap 5: Automatische inrichting van gebruikers configureren voor AWS IAM Identity Center

In deze sectie wordt u begeleid bij de stappen voor het configureren van de Microsoft Entra-inrichtingsservice om gebruikers en/of groepen in TestApp te maken, bij te werken en uit te schakelen op basis van gebruikers- en/of groepstoewijzingen in Microsoft Entra-id.

Automatische gebruikersinrichting configureren voor AWS IAM Identity Center in Microsoft Entra ID:

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een cloudtoepassing Beheer istrator.

2. Bladeren naar Bedrijfstoepassingen voor identiteitstoepassingen>>

   

3. Selecteer AWS IAM Identity Center in de lijst met toepassingen.

   

4. Selecteer het tabblad Inrichten.

   

5. Stel Inrichtingsmodus in op Automatisch.

   

6. Voer in het gedeelte Beheer Referenties uw AWS IAM Identity Center-tenant-URL en geheimtoken in dat u eerder in stap 2 hebt opgehaald. Klik op Test Verbinding maken ion om te controleren of Microsoft Entra ID verbinding kan maken met AWS IAM Identity Center.

   

7. Voer in het veld E-mailadres voor meldingen het e-mailadres in van een persoon of groep die de inrichtingsfoutmeldingen zou moeten ontvangen en schakel het selectievakje Een e-mailmelding verzenden als een fout optreedt in.

   

8. Selecteer Opslaan.

9. Selecteer in de sectie Toewijzingen Microsoft Entra-gebruikers synchroniseren met AWS IAM Identity Center.

10. Controleer in de sectie Kenmerktoewijzing de gebruikerskenmerken die vanuit Microsoft Entra-id met AWS IAM Identity Center worden gesynchroniseerd. De kenmerken die als overeenkomende eigenschappen zijn geselecteerd, worden gebruikt om de gebruikersaccounts in AWS IAM Identity Center te vinden voor updatebewerkingen. Als u ervoor kiest om het overeenkomende doelkenmerk te wijzigen, moet u ervoor zorgen dat de AWS IAM Identity Center-API het filteren van gebruikers op basis van dat kenmerk ondersteunt. Selecteer de knop Opslaan om eventuele wijzigingen door te voeren.

    Kenmerk	Type	Ondersteund voor filteren
    gebruikersnaam	String	✓
    actief	Booleaanse waarde
    displayName	String
    title	String
    emails[type eq "work"].value	String
    preferredLanguage	String
    name.givenName	String
    name.familyName	String
    name.formatted	String
    addresses[type eq "work"].formatted	String
    addresses[type eq "work"].streetAddress	String
    addresses[type eq "work"].locality	String
    addresses[type eq "work"].region	String
    addresses[type eq "work"].postalCode	String
    addresses[type eq "work"].country	String
    phoneNumbers[type eq "work"].value	String
    externalId	String
    landinstellingen	String
    timezone	String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber	String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department	String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division	String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:costCenter	String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization	String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager	Verwijzing

11. Selecteer in de sectie Toewijzingen Microsoft Entra-groepen synchroniseren met AWS IAM Identity Center.

12. Controleer in de sectie Kenmerktoewijzing de groepskenmerken die vanuit Microsoft Entra-id met AWS IAM Identity Center worden gesynchroniseerd. De kenmerken die als overeenkomende eigenschappen zijn geselecteerd, worden gebruikt om de groepen in AWS IAM Identity Center te vinden voor updatebewerkingen. Selecteer de knop Opslaan om eventuele wijzigingen door te voeren.

    Kenmerk	Type	Ondersteund voor filteren
    displayName	String	✓
    externalId	String
    leden	Verwijzing

13. Als u bereikfilters wilt configureren, raadpleegt u de volgende instructies in de zelfstudie Bereikfilter.

14. Als u de Microsoft Entra-inrichtingsservice voor AWS IAM Identity Center wilt inschakelen, wijzigt u de inrichtingsstatus in Aan in de sectie Instellingen.

    

15. Definieer de gebruikers en/of groepen die u wilt inrichten voor AWS IAM Identity Center door de gewenste waarden te kiezen in Bereik in de sectie Instellingen.

    

16. Wanneer u klaar bent om in te richten, klikt u op Opslaan.

    

Met deze bewerking wordt de eerste synchronisatiecyclus gestart van alle gebruikers en groepen die zijn gedefinieerd onder Bereik in de sectie Instellingen. De eerste cyclus duurt langer dan volgende cycli, die ongeveer om de 40 minuten plaatsvinden zolang de Microsoft Entra-inrichtingsservice wordt uitgevoerd.

Stap 6: Uw implementatie controleren

Zodra u de inrichting hebt geconfigureerd, gebruikt u de volgende resources om uw implementatie te bewaken:

1. Gebruik de inrichtingslogboeken om te bepalen welke gebruikers zijn ingericht of mislukt
2. Controleer de voortgangsbalk om de status van de inrichtingscyclus weer te geven en te zien of deze al bijna is voltooid
3. Als het configureren van de inrichting een foutieve status lijkt te hebben, wordt de toepassing in quarantaine geplaatst. Klik hier voor meer informatie over quarantainestatussen.

Just-In-Time -toepassingstoegang (JIT) met PIM voor groepen

Met PIM voor groepen kunt u Just-In-Time toegang bieden tot groepen in Amazon Web Services en het aantal gebruikers beperken dat permanente toegang heeft tot bevoorrechte groepen in AWS.

Uw bedrijfstoepassing configureren voor eenmalige aanmelding en inrichting

1. Voeg AWS IAM Identity Center toe aan uw tenant, configureer het voor inrichting zoals beschreven in de bovenstaande zelfstudie en begin met inrichten.
2. Eenmalige aanmelding configureren voor AWS IAM Identity Center.
3. Maak een groep die alle gebruikers toegang geeft tot de toepassing.
4. Wijs de groep toe aan de AWS Identity Center-toepassing.
5. Wijs uw testgebruiker toe als direct lid van de groep die u in de vorige stap hebt gemaakt of geef ze toegang tot de groep via een toegangspakket. Deze groep kan worden gebruikt voor permanente, niet-beheerderstoegang in AWS.

PIM inschakelen voor groepen

1. Maak een tweede groep in Microsoft Entra-id. Deze groep biedt toegang tot beheerdersmachtigingen in AWS.
2. Breng de groep onder beheer in Microsoft Entra PIM.
3. Wijs uw testgebruiker toe als in aanmerking komend voor de groep in PIM , waarbij de rol is ingesteld op lid.
4. Wijs de tweede groep toe aan de AWS IAM Identity Center-toepassing.
5. Gebruik inrichting op aanvraag om de groep te maken in AWS IAM Identity Center.
6. Meld u aan bij AWS IAM Identity Center en wijs de tweede groep de benodigde machtigingen toe om beheerderstaken uit te voeren.

Nu kan elke eindgebruiker die in aanmerking komt voor de groep in PIM JIT-toegang krijgen tot de groep in AWS door het groepslidmaatschap te activeren.

Belangrijkste overwegingen

• Hoe lang duurt het om een gebruiker in te richten voor de toepassing?:
  • Wanneer een gebruiker wordt toegevoegd aan een groep in Microsoft Entra ID buiten het activeren van het groepslidmaatschap met behulp van Microsoft Entra ID Privileged Identity Management (PIM):
    • Het groepslidmaatschap wordt tijdens de volgende synchronisatiecyclus ingericht in de toepassing. De synchronisatiecyclus wordt elke 40 minuten uitgevoerd.
  • Wanneer een gebruiker zijn groepslidmaatschap activeert in Microsoft Entra ID PIM:
    • Het groepslidmaatschap wordt in 2 tot 10 minuten ingericht. Wanneer er een hoge frequentie van aanvragen tegelijk is, worden aanvragen beperkt met een snelheid van vijf aanvragen per 10 seconden.
    • Voor de eerste vijf gebruikers binnen een periode van tien seconden die hun groepslidmaatschap activeren voor een specifieke toepassing, wordt groepslidmaatschap binnen 2-10 minuten ingericht in de toepassing.
    • Voor de zesde gebruiker en hoger binnen een periode van 10 seconden die het groepslidmaatschap voor een specifieke toepassing activeert, wordt groepslidmaatschap ingericht voor de toepassing in de volgende synchronisatiecyclus. De synchronisatiecyclus wordt elke 40 minuten uitgevoerd. De beperkingslimieten zijn per bedrijfstoepassing.
• Als de gebruiker geen toegang heeft tot de benodigde groep in AWS, raadpleegt u de onderstaande tips voor probleemoplossing, PIM-logboeken en inrichtingslogboeken om ervoor te zorgen dat het groepslidmaatschap is bijgewerkt. Afhankelijk van hoe de doeltoepassing is ontworpen, kan het extra tijd duren voordat het groepslidmaatschap van kracht wordt in de toepassing.
• U kunt waarschuwingen maken voor fouten met behulp van Azure Monitor.
• Deactivering wordt uitgevoerd tijdens de reguliere incrementele cyclus. Het wordt niet onmiddellijk verwerkt via inrichting op aanvraag.

Tips voor probleemoplossing

Ontbrekende kenmerken

Wanneer een gebruiker wordt ingericht voor AWS, moeten ze de volgende kenmerken hebben

• firstName
• lastName
• displayName
• gebruikersnaam

Gebruikers die deze kenmerken niet hebben, mislukken met de volgende fout

Kenmerken met meerdere waarden

AWS biedt geen ondersteuning voor de volgende kenmerken met meerdere waarden:

• e-mailadres
• Telefoonnummers

Als u het bovenstaande probeert te stromen als kenmerken met meerdere waarden, wordt het volgende foutbericht weergegeven

Er zijn twee manieren om dit op te lossen

1. Zorg ervoor dat de gebruiker slechts één waarde heeft voor phoneNumber/email
2. Verwijder de dubbele kenmerken. Als er bijvoorbeeld twee verschillende kenmerken worden toegewezen van Microsoft Entra-id die beide zijn toegewezen aan 'phoneNumber___' aan de AWS-zijde, resulteert dit in de fout als beide kenmerken waarden hebben in Microsoft Entra-id. Als er slechts één kenmerk is toegewezen aan een kenmerk 'phoneNumber____', wordt de fout opgelost.

Ongeldige tekens

Op dit moment staat AWS IAM Identity Center bepaalde andere tekens die door Microsoft Entra ID worden ondersteund, zoals tab (\t), nieuwe regel (\n), regelterugloop (\r) en tekens zoals | <|>|;|:% toe.

U kunt hier ook de tips voor probleemoplossing van AWS IAM Identity Center bekijken voor meer tips voor probleemoplossing

Aanvullende bronnen

• Gebruikersaccountinrichting voor zakelijke apps beheren
• Wat is toegang tot toepassingen en IAM Identity Center met Microsoft Entra ID?

Volgende stappen

• Meer informatie over het controleren van logboeken en het ophalen van rapporten over de inrichtingsactiviteit