Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Einrichtung der IAM Identity Center-Authentifizierung
Die IAM Identity Center-Authentifizierung bietet eine zentrale Möglichkeit, den Benutzerzugriff auf die AWS DevOps Agent Space-Webanwendung zu verwalten. In diesem Handbuch wird erklärt, wie die IAM Identity Center-Authentifizierung konfiguriert und Benutzer verwaltet werden.
Voraussetzungen
Bevor Sie die IAM Identity Center-Authentifizierung einrichten, stellen Sie sicher, dass Sie über Folgendes verfügen:
IAM Identity Center ist in Ihrer Organisation oder Ihrem Konto aktiviert
Administratorberechtigungen in Agent AWS DevOps
Ein Agent-Space ist konfiguriert oder bereit zur Erstellung
Authentifizierungsoptionen
AWS DevOps Der Agent bietet zwei Authentifizierungsmethoden für den Zugriff auf die Agent Space-Web-App:
IAM Identity Center-Authentifizierung — Für Produktionsumgebungen empfohlen. Bietet zentrale Benutzerverwaltung, Integration mit externen Identitätsanbietern und Sitzungen von bis zu 12 Stunden.
Administratorzugriff (IAM-Authentifizierung) — Bietet Administratoren bei der Ersteinrichtung und Konfiguration schnellen Zugriff. Die Sitzungen sind auf 30 Minuten begrenzt.
Konfiguration von IAM Identity Center während der Erstellung des Agent Space
Wenn Sie einen Agent Space erstellen, können Sie die IAM Identity Center-Authentifizierung auf der Registerkarte Access konfigurieren:
Schritt 1: Navigieren Sie zur Konfiguration der Web-App
Nachdem Sie Ihre Agent Space-Details und den AWS Kontozugriff konfiguriert haben, wechseln Sie zur Registerkarte Zugriff
Sie sehen zwei Abschnitte: „Connect IAM Identity Center“ und „Admin-Zugriff“
Schritt 2: Konfigurieren Sie die IAM Identity Center-Integration
Gehen Sie im Abschnitt [Agent Space] mit IAM Identity Center verbinden wie folgt vor:
Überprüfen Sie die IAM Identity Center-Instanz — In der Konsole wird angezeigt, welche Identity Center-Instanz den Web-App-Benutzerzugriff verwaltet (z. B.
ssoins-7223a9580931edbe). Ihre nächstgelegene IAM Identity Center-Instanz wird automatisch vorab aufgefüllt.Wählen Sie die Option Rollenname der IAM Identity Center-Anwendung aus — Wählen Sie eine von drei Optionen:
Automatische Erstellung einer neuen DevOps Agentenrolle (empfohlen):
Das System erstellt automatisch eine neue Servicerolle mit den entsprechenden Berechtigungen
Dies ist die einfachste Option und funktioniert für die meisten Anwendungsfälle
Weisen Sie eine bestehende Rolle zu:
Verwenden Sie eine bestehende IAM-Rolle, die Sie bereits erstellt haben
Das System überprüft, ob die Rolle über die erforderlichen Berechtigungen verfügt
Wählen Sie diese Option, wenn Ihre Organisation vorab erstellte Rollen für AWS DevOps Agenten hat
Erstellen Sie mithilfe einer Richtlinienvorlage eine neue DevOps Agentenrolle:
Verwenden Sie die bereitgestellten Richtliniendetails, um Ihre eigene benutzerdefinierte Rolle in der IAM-Konsole zu erstellen
Wählen Sie diese Option, wenn Sie die Rollenberechtigungen anpassen müssen
Nachdem Sie auf Connect geklickt haben, führt das System automatisch:
Erstellt oder konfiguriert die angegebene IAM-Rolle
Richtet eine IAM Identity Center-Anwendung für Ihren Agent Space ein
Stellt Vertrauensbeziehungen zwischen IAM Identity Center und der Agent Space-Web-App her
Konfiguriert OAuth 2.0-Authentifizierungsabläufe für sicheren Benutzerzugriff
Alternative: Verwenden des Administratorzugriffs
Wenn Sie sofort auf die Agent Space-Web-App zugreifen möchten, ohne IAM Identity Center einzurichten:
Notieren Sie sich im Abschnitt Admin-Zugriff den ARN für die IAM-Rolle, der Administratorzugriff bietet (z. B.
arn:aws:iam::440491339484:role/service-role/DevOpsAgentRole-WebappAdmin-15ppoc42)Klicken Sie auf die blaue Schaltfläche für Administratorzugriff, um die Agent Space-Web-App mit IAM-Authentifizierung zu starten
Sitzungen, die diese Methode verwenden, sind auf 30 Minuten begrenzt
Anmerkung
Der Administratorzugriff ist für die Ersteinrichtung und Konfiguration vorgesehen. Für den produktiven Einsatz und den laufenden Betrieb konfigurieren Sie die IAM Identity Center-Authentifizierung.
Hinzufügen von Benutzern und Gruppen
Nach der Konfiguration der IAM Identity Center-Authentifizierung müssen Sie bestimmten Benutzern und Gruppen Zugriff auf die Agent Space-Web-App gewähren:
Schritt 1: Greifen Sie auf die Benutzerverwaltung zu
Wählen Sie in der AWS DevOps Agent-Konsole Ihren Agent Space aus
Gehen Sie zur Registerkarte Zugriff
Klicken Sie unter Benutzerzugriff auf Benutzer und Gruppen verwalten
Schritt 2: Fügen Sie Benutzer oder Gruppen hinzu
Wählen Sie Benutzer oder Gruppen hinzufügen
Suchen Sie in Ihrem IAM Identity Center-Verzeichnis nach Benutzern oder Gruppen
Wählen Sie die Kontrollkästchen neben den Benutzern oder Gruppen aus, die Sie hinzufügen möchten
Klicken Sie auf Hinzufügen, um ihnen Zugriff zu gewähren
Die ausgewählten Benutzer können jetzt mit ihren IAM Identity Center-Anmeldeinformationen auf die Agent Space-Web-App zugreifen.
Mit externen Identitätsanbietern arbeiten
Wenn Sie einen externen Identitätsanbieter (wie Okta, Microsoft Entra ID oder Ping Identity) mit IAM Identity Center verwenden:
Benutzer und Gruppen werden von Ihrem externen Identitätsanbieter mit IAM Identity Center synchronisiert
Wenn Sie der Agent Space-Web-App Benutzer und Gruppen hinzufügen, wählen Sie aus dem synchronisierten Verzeichnis
Benutzerattribute und Gruppenmitgliedschaften werden von Ihrem externen Identitätsanbieter verwaltet
Änderungen an Ihrem Identitätsanbieter werden nach der Synchronisation automatisch in IAM Identity Center übernommen
So greifen Benutzer auf die Agent Space-Web-App zu
Nachdem Sie Benutzer zu Ihrem Agent Space hinzugefügt haben:
Teilen Sie die URL der Agent Space-Web-App mit autorisierten Benutzern
Wenn Benutzer zu der URL navigieren, werden sie zur IAM Identity Center-Anmeldeseite weitergeleitet
Nach Eingabe ihrer Anmeldeinformationen (und Abschluss der MFA, falls konfiguriert), werden sie zurück zur Agent Space-Web-App umgeleitet
Ihre Sitzung ist standardmäßig für 8 Stunden gültig (vom Identity Center-Administrator konfigurierbar)
Verwalten des Benutzerzugriffs
Sie können den Benutzerzugriff jederzeit aktualisieren:
Weitere Benutzer oder Gruppen hinzufügen:
Gehen Sie wie oben beschrieben vor, um weitere Benutzer oder Gruppen hinzuzufügen
Zugriff entfernen:
Suchen Sie im Abschnitt Benutzerzugriff nach dem Benutzer oder der Gruppe, den Sie entfernen möchten
Klicken Sie neben dem Namen auf die Schaltfläche Entfernen
Bestätigen Sie das Entfernen
Entfernte Benutzer verlieren sofort den Zugriff, aktive Sitzungen können jedoch fortgesetzt werden, bis sie ablaufen.
Verwaltung von Sitzungen
IAM Identity Center-Sitzungen für die Agent Space-Web-App weisen die folgenden Merkmale auf:
Standard-Sitzungsdauer — 8 Stunden
Sitzungssicherheit — Nur HTTP-Cookies für verbesserten Schutz
Multi-Faktor-Authentifizierung — Wird unterstützt, wenn sie in IAM Identity Center konfiguriert ist
API-Anmeldeinformationen — SigV4-Anmeldeinformationen mit kurzer Dauer (15 Minuten) werden für API-Aufrufe ausgestellt und automatisch erneuert
So konfigurieren Sie die Sitzungsdauer:
Navigieren Sie zur IAM Identity Center-Konsole
Gehen Sie zu Einstellungen > Authentifizierung
Konfigurieren Sie unter Sitzungsdauer Ihre bevorzugte Dauer (von 1 Stunde bis 12 Stunden)
Wählen Sie Save Changes (Änderungen speichern)
Identity Center wird getrennt
Klicken Sie in der Konsole Ihres Agent Space oben rechts auf Aktionen und wählen Sie Verbindung zum IAM Identity Center trennen
Bestätigen Sie im Bestätigungsdialogfeld
