共用方式為


教學課程:設定 AWS IAM Identity Center 以自動佈建使用者

本教學課程描述在 AWS IAM Identity Center (接替 AWS 單一登入) 與 Microsoft Entra ID 中設定自動使用者佈建所需執行的步驟。 設定時,Microsoft Entra ID 會使用 Microsoft Entra 佈建服務,對 AWS IAM Identity Center 自動佈建和取消佈建使用者和群組。 如需此服務用途、運作方式和常見問題的重要詳細資料,請參閱使用 Microsoft Entra ID 對 SaaS 應用程式自動佈建和取消佈建使用者

支援的功能

  • 在 AWS IAM Identity Center 中建立使用者
  • 在 AWS IAM Identity Center 中移除不再需要存取權的使用者
  • 讓使用者屬性在 Microsoft Entra ID 與 AWS IAM Identity Center 之間保持同步
  • 在 AWS IAM Identity Center 中佈建群組和群組成員資格
  • IAM Identity Center 至 AWS IAM Identity Center

必要條件

本教學課程中概述的案例假設您已經具有下列必要條件:

步驟 1:規劃佈建部署

  1. 了解佈建服務的運作方式 \(部分機器翻譯\)。
  2. 定義在佈建範圍內的人員。
  3. 決定要在 Microsoft Entra ID 與 AWS IAM Identity Center 之間對應的資料。

步驟 2:設定 AWS IAM Identity Center 以支援使用 Microsoft Entra ID 佈建

  1. 開啟 AWS IAM Identity Center

  2. 在左側的瀏覽窗格中,選擇 [設定]

  3. 在 [設定] 中,按一下 [自動布建] 區段中的 [啟用]。

    啟用自動佈建的螢幕擷取畫面。

  4. 在 [輸入自動佈建] 對話方塊中,複製並儲存 [SCIM 端點] 和 [存取權杖] (按一下 [顯示權杖] 後出現)。 這些值會在您的 AWS IAM Identity Center 應用程式的 [佈建] 索引標籤中,於 [租用戶 URL] 和 [祕密權杖] 欄位中輸入。 擷取佈建設定的螢幕擷取畫面。

從 Microsoft Entra 應用程式庫新增 AWS IAM Identity Center,以開始設法佈建到 AWS IAM Identity Center。 如果您先前已針對 SSO 設定 AWS IAM Identity Center,則可使用相同的應用程式。 在此深入了解從資源庫新增應用程式。

步驟 4:定義佈建範圍內的人員

Microsoft Entra 佈建服務可供根據對應用程式的指派,或根據使用者/群組的屬性,界定佈建的人員。 如果選擇根據指派來限定要佈建至應用程式的人員,則可使用下列步驟將使用者和群組指派給應用程式。 如果選擇僅根據使用者或群組屬性來限定將要佈建的人員,即可使用如這裡所述的範圍篩選條件。

  • 從小規模開始。 在推出給所有人之前,先使用一小部分的使用者和群組進行測試。 當佈建範圍設為已指派的使用者和群組時,您可將一或兩個使用者或群組指派給應用程式來控制這點。 當範圍設為所有使用者和群組時,您可指定以屬性為基礎的範圍篩選條件

  • 如果需要其他角色,您可以更新應用程式資訊清單以新增角色。

步驟 5:設定自動將使用者佈建至 AWS IAM Identity Center

本節將逐步引導您設定 Microsoft Entra 佈建服務,以根據 Microsoft Entra ID 中的使用者和/或群組指派,在 TestApp 中建立、更新和停用使用者和/或群組。

若要在 Microsoft Entra ID 中設定 AWS IAM Identity Center 的自動使用者佈建:

  1. 以至少 雲端應用程式系統管理員 的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別] > [應用程式] > [企業應用程式]

    企業應用程式刀鋒視窗

  3. 在應用程式清單中,選取 [AWS IAM Identity Center]

    應用程式清單中 AWS IAM Identity Center 連結的螢幕擷取畫面。

  4. 選取 [佈建] 索引標籤。

    佈建索引標籤

  5. 將 [佈建模式] 設定為 [自動]

    佈建索引標籤 [自動]

  6. 在 [管理員認證] 區段下,輸入您稍早在步驟 2 中擷取的 AWS IAM Identity Center [租用戶 URL] 和 [祕密權杖]。 按一下 [測試連線],以確定 Microsoft Entra ID 可連線至 AWS IAM Identity Center。

    Token

  7. 在 [通知電子郵件] 欄位中,輸入應該收到佈建錯誤通知的個人或群組電子郵件地址,然後選取 [發生失敗時傳送電子郵件通知] 核取方塊。

    通知電子郵件

  8. 選取 [儲存]。

  9. 在 [對應] 區段底下,選取 [將 Microsoft Entra 使用者同步至 AWS IAM Identity Center]

  10. 在 [屬性對應] 區段中,檢閱從 Microsoft Entra ID 同步至 AWS IAM Identity Center 的使用者屬性。 已選為 [比對] 屬性的屬性在更新作業中用於比對 AWS IAM Identity Center 中的使用者帳戶。 如果您選擇變更比對目標屬性,則必須確保 AWS IAM Identity Center API 支援根據該屬性來篩選使用者。 選取 [儲存] 按鈕以認可所有變更。

    屬性 類型 支援篩選
    userName String
    作用中 布林值
    displayName String
    title String
    emails[type eq "work"].value String
    preferredLanguage String
    name.givenName String
    name.familyName String
    name.formatted String
    addresses[type eq "work"].formatted String
    addresses[type eq "work"].streetAddress String
    addresses[type eq "work"].locality String
    addresses[type eq "work"].region String
    addresses[type eq "work"].postalCode String
    addresses[type eq "work"].country String
    phoneNumbers[type eq "work"].value String
    externalId String
    地區設定 String
    timezone String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:costCenter String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager 參考
  11. 在 [對應] 區段底下,選取 [將 Microsoft Entra 群組同步至 AWS IAM Identity Center]

  12. 在 [屬性對應] 區段中,檢閱從 Microsoft Entra ID 同步至 AWS IAM Identity Center 的群組屬性。 已選為 [比對] 屬性的屬性在更新作業中用於比對 AWS IAM Identity Center 中的群組。 選取 [儲存] 按鈕以認可所有變更。

    屬性 類型 支援篩選
    displayName String
    externalId String
    成員 參考
  13. 若要設定範圍篩選,請參閱範圍篩選教學課程中提供的下列指示。

  14. 若要為 AWS IAM Identity Center 啟用 Microsoft Entra 佈建服務,請在 [設定] 區段中,將 [佈建狀態] 變更為 [開啟]

    佈建狀態已切換為開啟

  15. 在 [設定] 區段的 [範圍] 中選擇所需的值,以定義您想要佈建至 AWS IAM Identity Center 的使用者和/或群組。

    佈建範圍

  16. 當您準備好要佈建時,按一下 [儲存]

    儲存雲端佈建設定

此作業會對在 [設定] 區段的 [範圍] 中所定義所有使用者和群組啟動首次同步處理週期。 初始週期會比後續週期花費更多時間執行,只要 Microsoft Entra 佈建服務正在執行,這大約每 40 分鐘便會發生一次。

步驟 6:監視您的部署

設定佈建後,請使用下列資源來監視部署:

  1. 使用佈建記錄可以判斷使用者是否已順利完成佈建
  2. 檢查進度列來查看佈建週期的狀態,以及其接近完成的程度
  3. 如果佈建設定似乎處於狀況不良的狀態,則應用程式將會進入隔離狀態。 在此 \(部分機器翻譯\) 深入了解隔離狀態。

使用群組的 PIM 的 Just-in-time (JIT) 應用程式存取

使用群組的 PIM,您可以針對 Amazon Web Services 中的群組提供 Just-In-Time 存取權,並減少具有 AWS 中特殊權限群組永久存取權的使用者數目。

設定企業應用程式以進行 SSO 和佈建

  1. 將 AWS IAM Identity Center 新增至您的租用戶、如上述教學課程所述設定它供佈建,並開始佈建。
  2. 設定 AWS IAM Identity Center 的單一入
  3. 建立群組,為所有使用者提供應用程式的存取權。
  4. 將該群組指派至 AWS Identity Center 應用程式。
  5. 將測試使用者指派為在上一個步驟中建立之群組的直接成員,或透過存取套件將群組的存取權提供給測試使用者。 此群組可用於 AWS 中的持續性非系統管理員存取。

啟用群組的 PIM

  1. 在 Microsoft Entra ID 中,建立第二個群組。 此群組會提供 AWS 中系統管理員權限的存取。
  2. 將群組置於 Microsoft Entra PIM 中的管理下。
  3. 將測試使用者指派為符合 PIM 中群組資格,並將角色設定為成員。
  4. 將第二個群組指派至 AWS IAM Identity Center 應用程式。
  5. 使用隨選佈建在 AWS IAM Identity Center 中建立群組。
  6. 登入 AWS IAM Identity Center,並為第二個群組指派執行系統管理工作所需的權限。

現在,任何符合 PIM 群組資格的使用者,只要啟用其群組成員資格,即可取得 AWS 中群組的 JIT 存取權。

主要考量

  • 將使用者佈建至應用程式需要多久時間?
    • 若使用者在未使用 Microsoft Entra ID Privileged Identity Management (PIM) 啟用群組成員資格的情況下,被新增至 Microsoft Entra ID 的群組:
      • 群組成員資格會在下一個同步處理週期期間佈建在應用程式中。 同步處理週期每 40 分鐘執行一次。
    • 使用者在 Microsoft Entra ID PIM 中啟用其群組成員資格時:
      • 群組成員資格會在 2-10 分鐘內佈建完。 有一次性的高請求率時,請求會以每 10 秒 5 個請求的速度節流。
      • 若在 10 秒週期內啟用特定應用程式的群組成員資格,前五名使用者的群組成員資格會在 2-10 分鐘內佈建到應用程式。
      • 若在 10 秒週期內啟用特定應用程式之群組成員資格,第六名和之後的使用者,群組成員資格會在下一次同步處理週期佈建到應用程式。 同步處理週期每 40 分鐘執行一次。 節流限制是針對每個企業應用程式設定。
  • 如果使用者無法存取 AWS 中的必要群組,請檢閱下列疑難排解提示、PIM 記錄和佈建記錄,以確保群組成員資格已成功更新。 根據目標應用程式的架構方式,群組成員資格可能需要更多時間才會在應用程式中生效。
  • 您可以使用 Azure 監視器來為失敗建立警示。
  • 停用會在一般增量週期期間完成。 它不會透過隨選佈建立即處理。

疑難排解秘訣

遺漏屬性

將使用者佈建至 AWS 時,其必須具有下列屬性

  • firstName
  • lastName
  • displayName
  • userName

沒有這些屬性的使用者將會失敗,並出現下列錯誤

errorcode

多重值屬性

AWS 不支援下列多重值屬性:

  • 電子郵件
  • 電話號碼

嘗試讓上述項目作為多重值屬性將會導致下列錯誤訊息

errorcode2

有兩種方法可以解決此錯誤

  1. 確定使用者只有一個電話號碼值/電子郵件值
  2. 移除重複的屬性。 例如,如果兩個不同的屬性在 Microsoft Entra ID 中都有值,則讓這兩個屬性都從 Microsoft Entra ID 對應至 AWS 端上的 "phoneNumber___" 會導致錯誤。 只讓一個屬性對應至「phoneNumber____」屬性便可解決此錯誤。

無效字元

目前,AWS IAM Identity Center 不允許使用 Microsoft Entra ID 所支援的一些其他字元,例如 Tab 字元 (\t)、新行字元 (\n)、歸位字元 (\r) 和 " <|>|;|:% " 等字元。

您也可以在這裡查看 AWS IAM Identity Center 疑難排解秘訣,以取得更多疑難排解秘訣

其他資源

下一步