教學課程:設定 AWS IAM 身分識別中心來自動布建使用者
本教學課程說明您需要在 AWS IAM 身分識別中心(AWS 單一登錄的後續任務)和 Microsoft Entra ID 中執行的步驟,以設定自動使用者布建。 設定時,Microsoft Entra ID 會自動使用 Microsoft Entra 布建服務,將使用者和群組布建和取消布建至 AWS IAM 身分識別中心 。 如需此服務執行方式、運作方式和常見問題的重要詳細數據,請參閱 使用 Microsoft Entra ID 將使用者布建和取消布建至 SaaS 應用程式。
支援的功能
- 在 AWS IAM 身分識別中心建立使用者
- 當使用者不再需要存取權時,請移除 AWS IAM 身分識別中心中的使用者
- 讓 Microsoft Entra ID 與 AWS IAM 身分識別中心之間的用戶屬性保持同步
- 在 AWS IAM 身分識別中心布建群組和群組成員資格
- IAM 身分識別中心 至 AWS IAM 身分識別中心
必要條件
本教學課程中所述的案例假設您已經具備下列必要條件:
- Microsoft Entra 租使用者
- 下列其中一個角色:應用程式 管理員 istrator、Cloud Application 管理員 istrator 或應用程式擁有者。
- 從 Microsoft Entra 帳戶到 AWS IAM 身分識別中心的 SAML 連線,如教學課程中所述
步驟 1:規劃布建部署
- 瞭解 布建服務的運作方式。
- 判斷誰在 布建範圍內。
- 判斷 Microsoft Entra ID 與 AWS IAM 身分識別中心之間的對應數據。
步驟 2:設定 AWS IAM 身分識別中心以支援使用 Microsoft Entra ID 進行佈建
在左側瀏覽窗格中選擇 設定
在 設定 中,按兩下 [自動布建] 區段中的 [啟用]。
在 [輸入自動布建] 對話框中,複製並儲存 SCIM 端點 和 存取令牌 (按兩下 [顯示令牌] 之後可見)。 這些值會在 AWS IAM 身分識別中心應用程式的 [布建] 索引標籤的 [租使用者 URL ] 和 [秘密令牌 ] 字段中輸入。
步驟 3:從 Microsoft Entra 應用連結庫新增 AWS IAM 身分識別中心
從 Microsoft Entra 應用連結庫新增 AWS IAM 身分識別中心,以開始管理對 AWS IAM 身分識別中心的佈建。 如果您先前已設定 AWS IAM Identity Center for SSO,您可以使用相同的應用程式。 在這裡深入瞭解如何從資源庫新增應用程式。
步驟 4:定義布建範圍中的人員
Microsoft Entra 布建服務可讓您根據應用程式的指派,或根據使用者/群組的屬性來設定布建的人員範圍。 如果您選擇根據指派來設定布建至應用程式的人員範圍,您可以使用下列步驟將使用者和群組指派給應用程式。 如果您選擇只根據使用者或群組的屬性來設定布建的人員範圍,您可以使用範圍篩選,如這裡所述。
從小規模開始。 在向所有人推出之前,先使用一組小型的使用者和群組進行測試。 當布建範圍設定為指派的使用者和群組時,您可以將一或兩個使用者或群組指派給應用程式來控制此設定。 當範圍設定為所有使用者和群組時,您可以指定 以屬性為基礎的範圍篩選。
如果您需要其他角色,您可以 更新應用程式指令清單 以新增角色。
步驟 5:設定對 AWS IAM 身分識別中心的自動使用者布建
本節會引導您逐步設定 Microsoft Entra 布建服務,以根據 Microsoft Entra ID 中的使用者和/或群組指派,在 TestApp 中建立、更新和停用使用者和/或群組。
若要在 Microsoft Entra ID 中為 AWS IAM 身分識別中心設定自動使用者布建:
至少需以雲端應用程式系統管理員的身分登入 Microsoft Entra 系統管理中心。
流覽至 [身分>識別應用程式企業應用程式]>
在應用程式清單中,選取 [AWS IAM 身分識別中心]。
選取 [ 布建] 索引 標籤。
將 [布 建模式 ] 設定為 [ 自動]。
在 [管理員 認證] 區段下,輸入您在步驟 2 稍早擷取的 AWS IAM 身分識別中心租使用者 URL 和秘密令牌。 單擊 [測試 連線],以確保 Microsoft Entra ID 可以連線到 AWS IAM 身分識別中心。
在 [ 通知電子郵件 ] 字段中,輸入應接收布建錯誤通知的人員或群組的電子郵件地址,然後選取 [失敗發生 時傳送電子郵件通知] 複選框。
選取 [儲存]。
在 [ 對應] 區段底下,選取 [ 將 Microsoft Entra 使用者同步處理至 AWS IAM 身分識別中心]。
在 [屬性對應] 區段中,檢閱從 Microsoft Entra ID 同步處理至 AWS IAM 身分識別中心的用戶屬性。 選取為 [比 對] 屬性的屬性可用來比對 AWS IAM 身分識別中心的使用者帳戶以進行更新作業。 如果您選擇變更比對 目標屬性,您必須確定 AWS IAM 身分識別中心 API 支援根據該屬性篩選使用者。 選取 [儲存 ] 按鈕以認可任何變更。
屬性 類型 支持篩選 userName String ✓ 作用中 布林值 displayName String title String emails[type eq “work”].value String preferredLanguage String name.givenName String name.familyName String name.formatted String addresses[type eq “work”].formatted String addresses[type eq “work”].streetAddress String addresses[type eq “work”].locality String addresses[type eq “work”].region String addresses[type eq “work”].postalCode String addresses[type eq “work”].country String phoneNumbers[type eq “work”].value String externalId String 地區設定 String timezone String urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber String urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department String urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division String urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:costCenter String urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization String urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager 參考 在 [ 對應] 區段底下,選取 [ 將 Microsoft Entra 群組同步至 AWS IAM 身分識別中心]。
在 [屬性對應] 區段中,檢閱從 Microsoft Entra ID 同步至 AWS IAM 身分識別中心的群組屬性。 選取為 [比對 ] 屬性的屬性可用來比對 AWS IAM 身分識別中心中的群組以進行更新作業。 選取 [儲存 ] 按鈕以認可任何變更。
屬性 類型 支持篩選 displayName String ✓ externalId String 成員 參考 若要設定範圍篩選,請參閱範圍篩選教學課程中提供的下列指示。
若要啟用 AWS IAM 身分識別中心的 Microsoft Entra 布建服務,請將 [設定] 區段中的 [布建狀態] 變更為 [開啟]。
在 [設定] 區段中,選擇 [範圍] 中的所需值,以定義您想要布建至 AWS IAM 身分識別中心的使用者和/或群組。
當您準備好布建時,請按兩下 [ 儲存]。
此作業會啟動 設定 區段中範圍中定義之所有使用者和群組的初始同步處理週期。 初始週期的執行時間比後續迴圈還要長,只要 Microsoft Entra 布建服務正在執行,大約每 40 分鐘就會發生一次。
步驟 6:監視您的部署
設定布建之後,請使用下列資源來監視您的部署:
使用 PIM 進行群組的 Just-In-Time (JIT) 應用程式存取
使用適用於群組的 PIM,您可以針對 Amazon Web Services 中的群組提供 Just-In-Time 存取權,並減少在 AWS 中永久存取特殊許可權群組的用戶數目。
設定企業應用程式以進行 SSO 和布建
- 將 AWS IAM 身分識別中心新增至您的租使用者、將它設定為布建,如上述教學課程所述,並開始佈建。
- 設定 AWS IAM Identity Center 的單一登錄 。
- 建立 群組 ,以提供所有使用者對應用程式的存取權。
- 將群組指派給 AWS Identity Center 應用程式。
- 將測試使用者指派為上一個步驟中建立之群組的直接成員,或透過存取套件提供群組的存取權。 此群組可用於 AWS 中的持續性非系統管理員存取。
啟用群組的 PIM
- 在 Microsoft Entra ID 中建立第二個群組。 此群組會提供 AWS 中系統管理員許可權的存取權。
- 在 Microsoft Entra PIM 中將群組帶入管理之下。
- 將測試使用者指派為 符合 PIM 中群組的資格,並將角色設定為成員。
- 將第二個群組指派給 AWS IAM Identity Center 應用程式。
- 使用隨選布建在 AWS IAM 身分識別中心建立群組。
- 登入 AWS IAM 身分識別中心,並指派第二個群組執行系統管理工作所需的許可權。
現在,任何符合 PIM 中群組資格的使用者,都可以藉由 啟用其群組成員資格來取得 AWS 群組的 JIT 存取權。
主要考量
- 使用者佈建至應用程式需要多久時間?:
- 當使用者在使用 Microsoft Entra ID Privileged Identity Management 啟用其群組成員資格之外,將使用者新增至 Microsoft Entra ID 中的群組時(PIM):
- 群組成員資格會在下一個同步處理周期期間布建在應用程式中。 同步處理週期每隔 40 分鐘執行一次。
- 當使用者在 Microsoft Entra ID PIM 中啟用其群組成員資格時:
- 群組成員資格會在 2 - 10 分鐘內布建。 一次有高要求率時,要求會以每 10 秒 5 個要求的速率進行節流。
- 在10秒期間內啟用特定應用程式的群組成員資格的前五位使用者,群組成員資格會在2-10分鐘內布建在應用程式中。
- 在第 10 秒內啟用特定應用程式的群組成員資格的 10 秒以上使用者,群組成員資格會在下一個同步處理週期中布建至應用程式。 同步處理週期每隔 40 分鐘執行一次。 節流限制是每個企業應用程式。
- 當使用者在使用 Microsoft Entra ID Privileged Identity Management 啟用其群組成員資格之外,將使用者新增至 Microsoft Entra ID 中的群組時(PIM):
- 如果使用者無法存取 AWS 中的必要群組,請檢閱下列疑難解答秘訣、PIM 記錄和布建記錄,以確保群組成員資格已成功更新。 視目標應用程式架構的方式而定,群組成員資格可能需要額外的時間才會在應用程式中生效。
- 您可以使用 Azure 監視器建立失敗的警示。
- 停用會在一般累加周期期間完成。 它不會透過隨選布建立即處理。
疑難排解秘訣
遺漏屬性
將使用者布建至 AWS 時,必須具備下列屬性
- firstName
- lastName
- displayName
- userName
沒有這些屬性的使用者將會失敗,並出現下列錯誤
多重值屬性
AWS 不支援下列多重值屬性:
- 電子郵件
- 電話號碼
嘗試以多重值屬性的形式流動上述屬性,將會產生下列錯誤訊息
有兩種方式可以解決此問題
- 確定使用者只有一個 phoneNumber/email 值
- 拿掉重複的屬性。 例如,如果兩個屬性都有 Microsoft Entra ID 中的值,兩者都對應至 AWS 端的 「phoneNumber___」,這兩個屬性都會產生錯誤。 只有一個對應至 「phoneNumber____」 屬性的屬性才能解決錯誤。
無效字元
目前 AWS IAM 身分識別中心不允許 Microsoft Entra ID 支援的一些其他字元,例如製表元(\t)、換行字元(\n)、歸位字元,例如 “ <|>|;|:% ”。
您也可以在這裡查看 AWS IAM 身分識別中心疑難解答秘訣,以取得更多疑難解答秘訣