將 AWS IAM Identity Center 設定為識別提供者 (預覽)

如果您是使用 AWS IAM Identity Center 的 Amazon Web Services (AWS) 客戶，您可以在權限管理中將該 Identity Center 設定為識別提供者。 設定 AWS IAM Identity Center 資訊可讓您在權限管理中接收更精確的身分識別資料。

注意

將 AWS IAM Identity Center 設定為識別提供者是選用驟。 藉由設定識別提供者資訊，權限管理可以讀取在 AWS IAM Identity Center 設定的使用者和角色存取權。 系統管理員可以查看指派給該身分識別權限的擴增檢視。 您可以隨時回到這些步驟來設定 IdP。

如何將 AWS IAM Identity Center 設定為識別提供者

1. 如果啟動 [權限管理] 時未顯示 [資料收集器] 儀表板，請選取 [設定] (齒輪圖示)，然後選取 [資料收集器] 子索引標籤。

2. 在 [資料收集器] 儀表板上，選取 [AWS]，然後選取 [建立設定]。 如果您的 AWS 帳戶中已經有資料收集器，而且您想要新增 AWS IAM 整合，則：

   • 選取要設定 AWS IAM 的資料收集器。
   • 按一下 [授權系統狀態] 旁的省略符號。
   • 選取 [整合識別提供者]。

3. 在 [整合識別提供者 (IdP)] 頁面上，選取 [AWS IAM Identity Center] 方塊。

4. 填寫下列欄位：

   • 開啟 AWS IAM Identity Center 區域。 指定安裝 AWS IAM Identity Center 的區域。 在 IAM Identity Center 中設定的所有資料
     均儲存在安裝 IAM Identity Center 的區域。
   • 您的 AWS 管理帳戶識別碼
   • 您的 AWS 管理帳戶角色

5. 選取 [啟動管理帳戶範本]。 即會會在新視窗中開啟範本。

6. 如果在之前的上線步驟中使用 CloudFormation 範本建立管理帳戶堆疊，請執行設為 true 的 EnableSSO 以更新堆疊。 執行此命令會在執行管理帳戶範本時建立新的堆疊。

範本執行會將 AWS 受控原則 AWSSSOReadOnly 和新建立的自訂原則 SSOPolicy 附加至 AWS IAM 角色，以允許 Microsoft Entra 權限管理收集組織資訊。 該範本會要求下列詳細資料。 所有欄位都會預先填入資料，您可以視需要編輯資料：

• 堆疊名稱 – 堆疊名稱是 AWS 堆疊的名稱，用來建立權限管理收集組織資訊所需的 AWS 資源。 預設值是 mciem-org-<tenant-id>。

• CFT 參數

  • OIDC 提供者角色名稱：可擔任此角色的 IAM 角色 OIDC 提供者名稱。 預設值為 OIDC 帳戶角色 (如權限管理中的輸入資料)。

  • 組織帳戶角色名稱：IAM 角色的名稱。 預設值會預先填入管理帳戶角色名稱 (如 Microsoft Entra PM 中的輸入資料)。

  • true – 啟用 AWS SSO。 從 [設定識別提供者 (IdP)] 頁面啟動範本時，預設值為 true，否則預設值為 false。

  • OIDC 提供者帳戶識別碼：建立 OIDC 提供者的帳戶標識碼。 預設值為 OIDC 提供者帳戶識別碼 (如權限管理中的輸入資料)。

  • 租用戶識別碼：建立應用程式的租用戶識別碼。 預設值為 tenant-id (已設定的租用戶)。

7. 按 [下一步] 以檢閱並確認輸入的資訊。

8. 按一下 [立即驗證並儲存]。

下一步

• 如需如何附加和中斷連結 AWS 身分識別權限的資訊，請參閱附加和中斷連結 AWS 身分識別的原則。