Skonfiguruj AWS IAM Identity Center (następcę AWS Single Sign-On) do automatycznego udostępniania użytkowników z Microsoft Entra ID.

W tym artykule opisano kroki, które należy wykonać w obu usługach AWS IAM Identity Center (następca AWS Single Sign-On) oraz Microsoft Entra ID, aby skonfigurować automatyczne udostępnianie użytkowników. Po skonfigurowaniu, Microsoft Entra ID automatycznie aprowizuje i deprowizuje użytkowników oraz grupy do AWS IAM Identity Center przy użyciu usługi aprowizacji Microsoft Entra. Aby uzyskać ważne szczegółowe informacje na temat działania tej usługi, sposobu jej działania i często zadawanych pytań, zobacz Automatyzowanie aprowizacji użytkowników i anulowania aprowizacji aplikacji SaaS przy użyciu identyfikatora Entra firmy Microsoft.

Obsługiwane możliwości

• Tworzenie użytkowników w centrum tożsamości usługi AWS IAM
• Usuwanie użytkowników w centrum tożsamości usługi AWS IAM, gdy nie wymagają już dostępu
• Zachowywanie synchronizacji atrybutów użytkownika między Microsoft Entra ID i AWS IAM Identity Center
• Zarządzaj grupami i członkostwami grup w Centrum Tożsamości AWS IAM.
• Centrum tożsamości IAM do centrum tożsamości IAM platformy AWS

Wymagania wstępne

W scenariuszu opisanym w tym artykule przyjęto założenie, że masz już następujące wymagania wstępne:

• Konto użytkownika Microsoft Entra z aktywną subskrypcją. Jeśli jeszcze go nie masz, możesz bezpłatnie utworzyć konto.
• Jedna z następujących ról:
  • Administrator aplikacji
  • Administrator aplikacji w chmurze
  • Właściciel aplikacji.

• Połączenie SAML z konta Microsoft Entra do AWS IAM Identity Center, zgodnie z opisem w samouczku.

Krok 1: Zaplanuj wdrożenie zaopatrzenia

1. Dowiedz się, jak działa usługa wdrażania.
2. Określ, kto znajduje się w zakresie zaopatrywania.
3. Ustal, jakie dane mają być mapowane między identyfikatorem Microsoft Entra ID a Centrum Tożsamości IAM platformy AWS.

Krok 2. Konfigurowanie centrum tożsamości IAM platformy AWS do obsługi aprowizacji przy użyciu identyfikatora Entra firmy Microsoft

1. Otwórz AWS IAM Identity Center.

2. Wybierz pozycję Ustawienia w okienku nawigacji po lewej stronie

3. W Ustawieniach wybierz opcję Włącz w sekcji Automatyczna konfiguracja.

   

4. W oknie dialogowym automatycznego przypisywania przychodzącego skopiuj i zapisz punkt końcowy SCIM oraz token dostępu (widoczny po wybraniu opcji Pokaż token). Wartości te są wprowadzane w polach Adres URL dzierżawy i Token tajny na zakładce Aprowizacja aplikacji Centrum tożsamości AWS IAM.

Krok 3. Dodawanie centrum tożsamości IAM platformy AWS z galerii aplikacji Firmy Microsoft Entra

Dodaj AWS Identity Center IAM z galerii aplikacji Microsoft Entra, aby rozpocząć zarządzanie procesem aprowizacji w AWS Identity Center IAM. Jeśli wcześniej skonfigurowano centrum tożsamości usługi AWS IAM na potrzeby logowania jednokrotnego, możesz użyć tej samej aplikacji. Więcej informacji o dodawaniu aplikacji z galerii znajdziesz tutaj.

Krok 4. Określ, kto jest objęty zakresem udostępniania

Usługa aprowizacji Microsoft Entra umożliwia definiowanie, kto ma być aprowizowany na podstawie przypisania do aplikacji lub na podstawie atrybutów użytkownika lub grupy. Jeśli zdecydujesz się określić, komu aplikacja będzie udostępniana na podstawie przypisania, możesz skorzystać z kroków do przypisania użytkowników i grup do aplikacji. Jeśli zdecydujesz się określić, kto jest objęty zakresem wyłącznie na podstawie atrybutów użytkownika lub grupy, możesz użyć filtru określania zakresu.

• Zacznij od małego Przeprowadź test z użyciem mniejszego zestawu użytkowników i grup, zanim wdrożysz to rozwiązanie dla wszystkich. Gdy zakres przydzielania jest ustawiony na przypisanych użytkowników i grupy, możesz kontrolować to, przypisując jednego lub dwóch użytkowników albo jedną lub dwie grupy do aplikacji. Gdy zakres jest ustawiony na wszystkich użytkowników i grupy, można określić filtr określania zakresu na podstawie atrybutów.

• Jeśli potrzebujesz dodatkowych ról, możesz zaktualizować manifest aplikacji , aby dodać nowe role.

Krok 5: Skonfiguruj automatyczne powiązanie użytkowników z AWS IAM Identity Center

Ta sekcja zawiera instrukcje konfigurowania usługi aprowizacji firmy Microsoft w celu tworzenia, aktualizowania i wyłączania użytkowników i/lub grup w usłudze TestApp na podstawie przypisań użytkowników i/lub grup w identyfikatorze Entra firmy Microsoft.

Aby skonfigurować automatyczną aprowizację użytkowników dla centrum tożsamości IAM platformy AWS w usłudze Microsoft Entra ID:

1. Zaloguj się do centrum administracyjnego Microsoft Entra z uprawnieniami co najmniej Administratora aplikacji w chmurze.

2. Przejdź do aplikacji Entra ID>Dla przedsiębiorstw

   

3. Na liście aplikacji wybierz pozycję AWS IAM Identity Center.

   

4. Wybierz zakładkę Provisioning.

   

5. Ustaw tryb konfigurowania na automatyczny.

   

6. W sekcji Poświadczenia administratora wprowadź URL dzierżawcy i token tajny, które pobrano wcześniej w kroku 2 z AWS IAM Identity Center. Wybierz pozycję Testuj połączenie , aby upewnić się, że identyfikator entra firmy Microsoft może nawiązać połączenie z centrum tożsamości IAM platformy AWS.

   

7. W polu Adres e-mail do powiadomień wpisz adres e-mail osoby lub grupy, która ma otrzymywać powiadomienia o błędach autoryzacji, a następnie zaznacz pole wyboru Wyślij powiadomienie e-mail w przypadku wystąpienia błędu.

   

8. Wybierz Zapisz.

9. W sekcji Mapowania wybierz pozycję Synchronizuj użytkowników usługi Microsoft Entra z usługą AWS IAM Identity Center.

10. Przejrzyj atrybuty użytkownika synchronizowane z usługi Microsoft Entra ID do centrum tożsamości IAM platformy AWS w sekcji Mapowanie atrybutów . Atrybuty wybrane jako Pasujące właściwości są używane do dopasowywania kont użytkowników w centrum tożsamości IAM platformy AWS na potrzeby operacji aktualizacji. Jeśli zdecydujesz się zmienić pasujący atrybut docelowy, musisz upewnić się, że interfejs API centrum tożsamości IAM platformy AWS obsługuje filtrowanie użytkowników na podstawie tego atrybutu. Wybierz przycisk Zapisz , aby zatwierdzić wszelkie zmiany.

    Atrybut	Typ	Obsługa filtrowania
    userName	Sznurek	✓
    aktywny	Boolowski
    nazwa wyświetlana	Sznurek
    tytuł	Sznurek
    emails[typ eq "praca"].wartość	Sznurek
    preferowany język	Sznurek
    nazwa.imię	Sznurek
    imię.nazwisko	Sznurek
    nazwa.sformatowana	Sznurek
    adresy[type eq "work"].sformatowany	Sznurek
    adresy[typ równy "praca"].adresUlicy	Sznurek
    adresy[typ eq "praca"].lokalizacja	Sznurek
    adresy[typ eq "praca"].region	Sznurek
    adresy[typ równy "praca"].kodPocztowy	Sznurek
    Adresy[typ eq "praca"].kraj	Sznurek
    phoneNumbers[rodzaj eq "praca"].value	Sznurek
    Identyfikator zewnętrzny	Sznurek
    ustawienia lokalne	Sznurek
    strefa czasowa	Sznurek
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:numerPracownika	Sznurek
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:Użytkownik:dział	Sznurek
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:Użytkownik:dział	Sznurek
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:centrum-kosztów	Sznurek
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:użytkownik:organizacja	Sznurek
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:Użytkownik:kierownik	Źródło

11. W sekcji Mapowania wybierz pozycję Synchronizuj grupy Microsoft Entra z usługą AWS IAM Identity Center.

12. Przejrzyj atrybuty grupy, które są synchronizowane z usługi Microsoft Entra ID do centrum tożsamości IAM platformy AWS w sekcji Mapowanie atrybutów . Atrybuty wybrane jako pasujące właściwości są używane do dopasowywania grup w centrum tożsamości IAM platformy AWS na potrzeby operacji aktualizacji. Wybierz przycisk Zapisz , aby zatwierdzić wszelkie zmiany.

    Atrybut	Typ	Obsługa filtrowania
    nazwa wyświetlana	Sznurek	✓
    Identyfikator zewnętrzny	Sznurek
    Członkowie	Źródło

13. Aby skonfigurować filtry określania zakresu, skorzystaj z poniższych instrukcji podanych w artykule dotyczącym filtrów określania zakresu.

14. Aby włączyć usługę aprowizacji Microsoft Entra dla centrum tożsamości AWS IAM, zmień stan aprowizacji na Włączone, w sekcji Ustawienia.

    

15. Zdefiniuj użytkowników i/lub grupy, które chcesz aprowizować w usłudze AWS IAM Identity Center, wybierając żądane wartości w obszarze Zakres w sekcji Ustawienia .

    

16. Gdy będziesz gotowy do konfigurowania, wybierz Zapisz.

    

Ta operacja spowoduje rozpoczęcie cyklu synchronizacji początkowej wszystkich użytkowników i grup zdefiniowanych w obszarze Zakres w sekcji Ustawienia. Cykl początkowy trwa dłużej niż kolejne cykle, które występują mniej więcej co 40 minut, pod warunkiem, że usługa wdrażania Microsoft Entra jest uruchomiona.

Krok 6. Monitorowanie wdrożenia

Po skonfigurowaniu aprowizacji użyj następujących zasobów, aby monitorować wdrożenie:

1. Użyj dzienników przydzielania , aby określić, którzy użytkownicy zostali pomyślnie przydzieleni lub dla których proces przydzielania się nie powiódł.
2. Sprawdź pasek postępu , aby zobaczyć stan cyklu wdrażania i sprawdzić, jak blisko jest do zakończenia.
3. Jeśli konfiguracja aprowizacji wydaje się być w złej kondycji, aplikacja przechodzi do kwarantanny. Dowiedz się więcej o stanach kwarantanny z artykułu dotyczącego statusu kwarantanny podczas aprowizacji aplikacji.

Dostęp do aplikacji just in time (JIT) za pomocą usługi PIM dla grup

Dzięki usłudze PIM dla grup możesz zapewnić dostęp just in time do grup w usługach Amazon Web Services i zmniejszyć liczbę użytkowników, którzy mają stały dostęp do uprzywilejowanych grup na platformie AWS.

Skonfiguruj aplikację korporacyjną dla SSO i aprowizacji

1. Dodaj usługę AWS IAM Identity Center do dzierżawy, skonfiguruj ją do aprowizacji zgodnie z opisem w powyższym artykule i rozpocznij aprowizację.
2. Konfigurowanie logowania jednokrotnego dla usługi AWS IAM Identity Center.
3. Utwórz grupę, która zapewnia wszystkim użytkownikom dostęp do aplikacji.
4. Przypisz grupę do aplikacji AWS Identity Center.
5. Przypisz użytkownika testowego jako bezpośredniego członka grupy utworzonej w poprzednim kroku lub zapewnij im dostęp do grupy za pośrednictwem pakietu dostępu. Tej grupy można używać na potrzeby trwałego dostępu niezwiązanego z administratorem na platformie AWS.

Włączanie usługi PIM dla grup

1. Utwórz drugą grupę w usłudze Microsoft Entra ID. Ta grupa zapewnia dostęp do uprawnień administratora na platformie AWS.
2. Przenieś grupę pod zarządzanie w usłudze Microsoft Entra PIM.
3. Przypisz użytkownika testowego jako uprawnionego do grupy w usłudze PIM z rolą ustawioną jako członek.
4. Przypisz drugą grupę do aplikacji AWS IAM Identity Center.
5. Użyj aprowizacji na żądanie, aby utworzyć grupę w centrum tożsamości IAM platformy AWS.
6. Zaloguj się do centrum tożsamości IAM platformy AWS i przypisz drugą grupę niezbędnych uprawnień do wykonywania zadań administracyjnych.

Teraz każdy użytkownik końcowy, który zakwalifikował się do grupy w usłudze PIM, może uzyskać dostęp JIT do grupy na platformie AWS , aktywując członkostwo w grupie.

Najważniejsze zagadnienia

• Jak długo trwa przydzielenie użytkownika do aplikacji?
  • Po dodaniu użytkownika do grupy w usłudze Microsoft Entra ID poza aktywowaniem członkostwa w grupie przy użyciu usługi Microsoft Entra ID Privileged Identity Management (PIM):
    • Członkostwo w grupie jest aprowizowane w aplikacji podczas następnego cyklu synchronizacji. Cykl synchronizacji jest uruchamiany co 40 minut.
  • Gdy użytkownik aktywuje członkostwo w grupie w usłudze Microsoft Entra ID PIM:
    • Członkostwo w grupie jest przyznawane w ciągu od 2 do 10 minut. Gdy jednocześnie występuje duża liczba żądań, żądania są ograniczane w tempie pięciu żądań na 10 sekund.
    • Dla pierwszych pięciu użytkowników w ciągu 10 sekund aktywowania członkostwa w grupie dla określonej aplikacji członkostwo w grupie jest aprowizowane w aplikacji w ciągu 2–10 minut.
    • W przypadku szóstego użytkownika i kolejnych w okresie 10-sekundowym aktywowania członkostwa w grupie dla określonej aplikacji, członkostwo w grupie jest przydzielane do aplikacji podczas następnego cyklu synchronizacji. Cykl synchronizacji jest uruchamiany co 40 minut. Limity ograniczania przepływności dotyczą aplikacji dla przedsiębiorstw.
• Jeśli użytkownik nie może uzyskać dostępu do niezbędnej grupy na platformie AWS, zapoznaj się z poniższymi wskazówkami dotyczącymi rozwiązywania problemów, dziennikami usługi PIM i dziennikami aprowizacji, aby upewnić się, że członkostwo w grupie zostało pomyślnie zaktualizowane. W zależności od tego, jak aplikacja docelowa została zaprojektowana, może upłynąć dodatkowy czas na zastosowanie członkostwa w grupie w aplikacji.
• Alerty dotyczące niepowodzeń można tworzyć przy użyciu usługi Azure Monitor.
• Dezaktywacja jest wykonywana podczas regularnego cyklu przyrostowego. Nie jest ona natychmiastowo przetwarzana poprzez dynamiczne wdrażanie na żądanie.

Porady dotyczące rozwiązywania problemów

Brakujące atrybuty

Podczas aprowizowania użytkownika na platformie AWS wymagane są następujące atrybuty

• imię
• nazwisko
• nazwa wyświetlana
• userName

Użytkownicy, którzy nie mają tych atrybutów, kończą się niepowodzeniem z powodu następującego błędu

Atrybuty wielowartościowe

Platforma AWS nie obsługuje następujących atrybutów wielowartych:

• e-mail
• numery telefonów

Próba przepływu powyższych atrybutów jako atrybutów wielowartych powoduje następujący komunikat o błędzie

Istnieją dwa sposoby rozwiązania tego problemu

1. Upewnij się, że użytkownik ma tylko jedną wartość dla numeru telefonu/wiadomości e-mail
2. Usuń zduplikowane atrybuty. Na przykład posiadanie dwóch różnych atrybutów mapowanych z Microsoft Entra ID na "phoneNumber___" po stronie AWS spowoduje wystąpienie błędu, jeśli oba atrybuty mają wartości w Microsoft Entra ID. Błąd zostanie rozwiązany tylko przy użyciu jednego atrybutu zamapowanego na atrybut "phoneNumber____".

Nieprawidłowe znaki

Obecnie usługa AWS IAM Identity Center nie zezwala na stosowanie innych znaków, które obsługuje identyfikator Entra firmy Microsoft, takich jak tabulator (\t), nowy wiersz (\n), karetka powrotna (\r) i znaki takie jak " <|>|;|:% ".

Sprawdź porady dotyczące rozwiązywania problemów z usługą AWS IAM Identity Center tutaj, aby uzyskać więcej wskazówek dotyczących rozwiązywania problemów.

Dodatkowe zasoby

• Zarządzanie aprowizowaniem konta użytkownika dla aplikacji dla przedsiębiorstw
• Co to jest dostęp do aplikacji i Centrum tożsamości IAM przy użyciu identyfikatora Entra firmy Microsoft?

Treści powiązane

• Dowiedz się, jak przeglądać dzienniki i pobrać raporty dotyczące działań zaopatrzenia