Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Zugriff auf Anwendungen konfigurieren
Mit können Sie steuern AWS IAM Identity Center, wer Single Sign-On-Zugriff auf Ihre Anwendungen haben kann. Benutzer erhalten nahtlosen Zugriff auf diese Anwendungen, nachdem sie sich mit ihren Verzeichnisanmeldedaten angemeldet haben.
IAM Identity Center kommuniziert sicher mit diesen Anwendungen über eine vertrauenswürdige Beziehung zwischen IAM Identity Center und dem Dienstanbieter der Anwendung. Dieses Vertrauen kann je nach Anwendungstyp auf unterschiedliche Weise hergestellt werden.
IAM Identity Center unterstützt zwei Anwendungstypen: [AWS verwaltete Anwendungen](awsapps.md) und vom [Kunden verwaltete Anwendungen](customermanagedapps.md). AWS verwaltete Anwendungen werden direkt in den entsprechenden Anwendungskonsolen oder über die Anwendung APIs konfiguriert. Vom Kunden verwaltete Anwendungen müssen der IAM Identity Center-Konsole hinzugefügt und mit den entsprechenden Metadaten sowohl für IAM Identity Center als auch für den Service Provider konfiguriert werden.
Nachdem Sie die Anwendungen für die Zusammenarbeit mit IAM Identity Center konfiguriert haben, können Sie verwalten, welche Benutzer oder Gruppen auf die Anwendungen zugreifen. Standardmäßig sind Anwendungen keine Benutzer zugewiesen.
Sie können Ihren Mitarbeitern auch Zugriff auf die AWS-Managementkonsole für Ihre Organisation bestimmten AWS-Konto Daten gewähren. Weitere Informationen finden Sie unter [Konfigurieren Sie den Zugriff auf AWS-Konten](manage-your-accounts.md).
**Topics**
+ [AWS verwaltete Anwendungen](awsapps.md)
+ [Vom Kunden verwaltete Anwendungen](customermanagedapps.md)
+ [Überblick über die Verbreitung vertrauenswürdiger Identitäten](trustedidentitypropagation-overview.md)
+ [Richten Sie Ihre eigene OAuth 2.0-Anwendung ein](trustedidentitypropagation-using-customermanagedapps-setup.md)
+ [Wechseln Sie die IAM Identity Center-Zertifikate](managecerts.md)
+ [Machen Sie sich mit den Anwendungseigenschaften in der IAM Identity Center-Konsole vertraut](appproperties.md)
+ [Weisen Sie Benutzerzugriff auf Anwendungen in der IAM Identity Center-Konsole zu](assignuserstoapp.md)
+ [Entfernen Sie den Benutzerzugriff auf SAML 2.0-Anwendungen](removeaccessfromapp.md)
+ [Ordnen Sie Attribute in Ihrer Anwendung den IAM Identity Center-Attributen zu](mapawsssoattributestoapp.md)
# AWS verwaltete Anwendungen
AWS IAM Identity Center optimiert und vereinfacht die Aufgabe, die Benutzer Ihrer Belegschaft mit AWS verwalteten Anwendungen wie Kiro und Amazon Quick zu verbinden. Mit IAM Identity Center können Sie Ihren bestehenden Identitätsanbieter einmalig verbinden und Benutzer und Gruppen aus Ihrem Verzeichnis synchronisieren oder Ihre Benutzer direkt in IAM Identity Center erstellen und verwalten. Durch die Bereitstellung eines zentralen Verbundpunkts macht IAM Identity Center die Einrichtung eines Verbunds oder der Benutzer- und Gruppensynchronisierung für jede Anwendung überflüssig und reduziert Ihren Verwaltungsaufwand. Außerdem erhalten Sie eine gemeinsame [Ansicht der Benutzer- und Gruppenzuweisungen](howtoviewandchangepermissionset.md).
Eine Tabelle der AWS Anwendungen, die mit IAM Identity Center funktionieren, finden Sie unter[AWS verwaltete Anwendungen, die Sie mit IAM Identity Center verwenden können](awsapps-that-work-with-identity-center.md).
## Steuern des Zugriffs auf AWS verwaltete Anwendungen
Der Zugriff auf AWS verwaltete Anwendungen wird auf zwei Arten gesteuert:
+ **Erster Zugang zur Anwendung**
Das IAM Identity Center verwaltet dies durch Zuweisungen an die Anwendung. Standardmäßig sind Zuweisungen für AWS verwaltete Anwendungen erforderlich. Wenn Sie ein Anwendungsadministrator sind, können Sie wählen, ob Zuweisungen zu einer Anwendung erforderlich sind.
Wenn Zuweisungen erforderlich sind, können bei der Anmeldung von Benutzern nur Benutzer AWS-Zugangsportal, die der Anwendung direkt oder über eine Gruppenzuweisung zugewiesen wurden, die Anwendungskachel anzeigen.
Wenn keine Zuweisungen erforderlich sind, können Sie allen IAM Identity Center-Benutzern den Zugriff auf die Anwendung ermöglichen. In diesem Fall verwaltet die Anwendung den Zugriff auf Ressourcen und die Anwendungskachel ist für alle Benutzer sichtbar, die die Anwendung besuchen. AWS-Zugangsportal
**Wichtig**
Wenn Sie ein IAM Identity Center-Administrator sind, können Sie die IAM Identity Center-Konsole verwenden, um Zuweisungen zu AWS verwalteten Anwendungen zu entfernen. Bevor Sie Zuweisungen entfernen, empfehlen wir, dass Sie sich mit dem Anwendungsadministrator abstimmen. Sie sollten sich auch mit dem Anwendungsadministrator abstimmen, wenn Sie beabsichtigen, die Einstellung zu ändern, die bestimmt, ob Zuweisungen erforderlich sind, oder Anwendungszuweisungen zu automatisieren.
+ **Zugriff auf Anwendungsressourcen**
Die Anwendung verwaltet dies durch unabhängige Ressourcenzuweisungen, die sie kontrolliert.
AWS Verwaltete Anwendungen bieten eine administrative Benutzeroberfläche, mit der Sie den Zugriff auf Anwendungsressourcen verwalten können. Beispielsweise können Quick-Administratoren Benutzern auf der Grundlage ihrer Gruppenmitgliedschaft den Zugriff auf Dashboards zuweisen. Die meisten AWS verwalteten Anwendungen bieten auch eine AWS-Managementkonsole Benutzeroberfläche, mit der Sie der Anwendung Benutzer zuweisen können. Die Konsolenoberfläche für diese Anwendungen kann beide Funktionen integrieren, um Funktionen zur Benutzerzuweisung mit der Fähigkeit zu kombinieren, den Zugriff auf Anwendungsressourcen zu verwalten.
## Weitergabe von Identitätsinformationen
### Überlegungen zum Teilen von Identitätsinformationen in AWS-Konten
IAM Identity Center unterstützt die am häufigsten verwendeten Attribute in allen Anwendungen. Zu diesen Attributen gehören Vor- und Nachname, Telefonnummer, E-Mail-Adresse, Adresse und bevorzugte Sprache. Überlegen Sie sorgfältig, welche Anwendungen und welche Konten diese personenbezogenen Daten verwenden können.
Sie können den Zugriff auf diese Informationen auf eine der folgenden Arten kontrollieren:
+ Sie können wählen, ob Sie den Zugriff nur für das AWS Organizations Verwaltungskonto oder für alle Konten in aktivieren möchten AWS Organizations.
+ Alternativ können Sie mithilfe von Dienststeuerungsrichtlinien (SCPs) steuern, welche Anwendungen auf die Informationen in welchen Konten zugreifen können AWS Organizations.
Wenn Sie beispielsweise den Zugriff nur im AWS Organizations Verwaltungskonto aktivieren, haben Anwendungen in Mitgliedskonten keinen Zugriff auf die Informationen. Wenn Sie jedoch den Zugriff für alle Konten aktivieren, können Sie damit allen Anwendungen SCPs den Zugriff verbieten, mit Ausnahme derjenigen, die Sie zulassen möchten.
Richtlinien zur Dienststeuerung sind ein Feature von. AWS Organizations*Anweisungen zum Anhängen eines SCP finden Sie im Benutzerhandbuch unter [Dienststeuerungsrichtlinien anhängen und trennen](/organizations/latest/userguide/orgs_manage_policies_scps_attach.html).AWS Organizations *
### Konfiguration von IAM Identity Center für die gemeinsame Nutzung von Identitätsinformationen
IAM Identity Center bietet einen Identitätsspeicher, der Benutzer- und Gruppenattribute mit Ausnahme von Anmeldedaten enthält. Sie können eine der folgenden Methoden verwenden, um die Benutzer und Gruppen in Ihrem IAM Identity Center-Identitätsspeicher auf dem neuesten Stand zu halten:
+ Verwenden Sie den IAM Identity Center-Identitätsspeicher als Hauptidentitätsquelle. Wenn Sie diese Methode wählen, verwalten Sie Ihre Benutzer, ihre Anmeldeinformationen und Gruppen von der IAM Identity Center-Konsole aus oder AWS Command Line Interface ().AWS CLI Weitere Informationen finden Sie unter [Benutzer im Identity Center-Verzeichnis verwalten](manage-your-identity-source-sso.md).
+ Richten Sie die Bereitstellung (Synchronisation) von Benutzern und Gruppen aus einer der folgenden Identitätsquellen für Ihren IAM Identity Center-Identitätsspeicher ein:
+ **Active Directory** — Weitere Informationen finden Sie unter. [Microsoft ADVerzeichnis](manage-your-identity-source-ad.md)
+ **Externer Identitätsanbieter** — Weitere Informationen finden Sie unter[Externe Identitätsanbieter](manage-your-identity-source-idp.md).
Wenn Sie diese Bereitstellungsmethode wählen, verwalten Sie Ihre Benutzer und Gruppen weiterhin von Ihrer Identitätsquelle aus, und diese Änderungen werden mit dem IAM Identity Center-Identitätsspeicher synchronisiert.
Für welche Identitätsquelle Sie sich auch entscheiden, IAM Identity Center kann die Benutzer- und Gruppeninformationen mit verwalteten Anwendungen teilen. AWS Auf diese Weise können Sie eine Identitätsquelle einmal mit dem IAM Identity Center verbinden und dann Identitätsinformationen mit mehreren Anwendungen in der teilen. AWS Cloud Dadurch entfällt die Notwendigkeit, für jede Anwendung den Verbund und die Bereitstellung von Identitäten unabhängig voneinander einzurichten. Diese Funktion zur gemeinsamen Nutzung macht es auch einfach, Ihren Benutzern Zugriff auf viele Anwendungen in verschiedenen AWS-Konten Bereichen zu gewähren.
## Einschränkung der Nutzung AWS verwalteter Anwendungen
Wenn Sie IAM Identity Center zum ersten Mal aktivieren, steht es als Identitätsquelle für AWS verwaltete Anwendungen für alle Konten in Ihrem Konto zur Verfügung. AWS Organizations Um Anwendungen einzuschränken, müssen Sie Richtlinien zur Servicesteuerung implementieren ()SCPs. SCPs sind eine Funktion, mit der Sie AWS Organizations die maximalen Berechtigungen, die Identitäten (Benutzer und Rollen) in Ihrer Organisation haben können, zentral steuern können. Sie können SCPs sie verwenden, um den Zugriff auf die Benutzer- und Gruppeninformationen von IAM Identity Center zu blockieren und zu verhindern, dass die Anwendung gestartet wird, außer in bestimmten Konten. Weitere Informationen finden Sie unter [Richtlinien zur Dienststeuerung (SCPs)](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps.html) im *AWS Organizations Benutzerhandbuch*.
Das folgende SCP-Beispiel blockiert den Zugriff auf die Benutzer- und Gruppeninformationen von IAM Identity Center und verhindert, dass die Anwendung gestartet wird, außer in bestimmten Konten (111111111111 und 222222222222):
```
{
"Sid": "DenyIdCExceptInDesignatedAWSAccounts",
"Effect": "Deny",
"Action": [
"identitystore:*",
"sso:*",
"sso-directory:*",
"sso-oauth:*"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:PrincipalAccount": [
"111111111111",
"222222222222"
]
}
}
}
```
# AWS verwaltete Anwendungen, die Sie mit IAM Identity Center verwenden können
Mit IAM Identity Center können Sie Ihre bestehende Identitätsquelle verbinden oder Benutzer einmalig erstellen. Auf diese Weise können Anwendungsadministratoren den Zugriff auf die folgenden AWS verwalteten Anwendungen ohne separaten Verbund oder Benutzer- und Gruppensynchronisierung verwalten.
Alle AWS verwalteten Anwendungen in der folgenden Tabelle lassen sich in [Organisationsinstanzen von IAM Identity Center](organization-instances-identity-center.md) integrieren. Die Tabelle enthält auch Informationen zu den folgenden Informationen für eine unterstützte AWS verwaltete Anwendung:
+ Ob die Anwendung auch in Kontoinstanzen von IAM Identity Center integriert werden kann
+ Ob die Anwendung die Verbreitung vertrauenswürdiger Identitäten über IAM Identity Center ermöglichen kann
+ Ob die Anwendung IAM Identity Center unterstützt, das mit einem vom Kunden verwalteten KMS-Schlüssel konfiguriert ist
+ Ob die Anwendung die Bereitstellung in weiteren Regionen von IAM Identity Center unterstützt
**Anmerkung**
Anwendungen, die die Bereitstellung in weiteren Regionen von IAM Identity Center unterstützen, unterstützen auch IAM Identity Center, das mit einem vom Kunden verwalteten KMS-Schlüssel konfiguriert ist. Jede hier aufgeführte AWS verwaltete Anwendung unterstützt die Bereitstellung in der primären Region. Weitere Informationen finden Sie unter [Bereitstellung und Verwaltung AWS verwalteter Anwendungen für mehrere AWS-Regionen](multi-region-application-use.md#multi-region-aws-managed-applications).
**AWS verwaltete Anwendungen, die in IAM Identity Center integriert sind**
| AWS verwaltete Anwendung | Integriert in [Kontoinstanzen von IAM Identity Center](account-instances-identity-center.md) | Ermöglicht die [Verbreitung vertrauenswürdiger Identitäten](trustedidentitypropagation-overview.md) über IAM Identity Center | Unterstützt IAM Identity Center, das mit einem vom [Kunden verwalteten](encryption-at-rest.md) KMS-Schlüssel konfiguriert ist | Unterstützt die Bereitstellung in [weiteren Regionen von IAM Identity Center](multi-region-iam-identity-center.md) |
| --- | --- | --- | --- | --- |
| Amazon Athena SQL | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/negative_icon.svg) Nein |
| Amazon CodeCatalyst | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/negative_icon.svg) Nein | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/negative_icon.svg) Nein |
| Amazon DataZone | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/negative_icon.svg) Nein |
| Funktionen von Amazon EKS | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/negative_icon.svg) Nein |
| Amazon EMR in EC2 | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/negative_icon.svg) Nein |
| Amazon EMR in EKS | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/negative_icon.svg) Nein |
| Amazon EMR Serverless | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/negative_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/negative_icon.svg) Nein |
| Amazon EMR Studio | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/negative_icon.svg) Nein |
| Amazon Kendra | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/negative_icon.svg) Nein | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/negative_icon.svg) Nein | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/negative_icon.svg) Nein |
| Amazon Managed Grafana | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/negative_icon.svg) Nein | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/negative_icon.svg) Nein | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/negative_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/negative_icon.svg) Nein |
| Amazon Monitron | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/negative_icon.svg) Nein | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/negative_icon.svg) Nein | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/negative_icon.svg) Nein | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/negative_icon.svg) Nein |
| OpenSearch Amazon-Dienst | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/negative_icon.svg) Nein |
| OpenSearch Amazon-Dienst Serverless Service | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/negative_icon.svg) Nein |
| Amazon Q Business | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/negative_icon.svg) Nein |
| Amazon Quick | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/negative_icon.svg) Nein |
| Amazon Redshift | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg)Ja 2 | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/negative_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja |
| Amazon S3 Access Grants | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja |
| Amazon SageMaker Studio | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/negative_icon.svg) Nein | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/negative_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/negative_icon.svg) Nein |
| SageMaker Vereinheitlichtes Amazon Studio | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/negative_icon.svg) Nein |
| Amazon WorkMail | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/negative_icon.svg) Nein |
| Amazon WorkSpaces | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/negative_icon.svg) Nein | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/negative_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/negative_icon.svg) Nein |
| Amazon WorkSpaces Secure Browser | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/negative_icon.svg) Nein | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/negative_icon.svg) Nein | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/negative_icon.svg) Nein |
| AWS App Studio | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/negative_icon.svg) Nein | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/negative_icon.svg) Nein | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/negative_icon.svg) Nein |
| AWS Deadline Cloud | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/negative_icon.svg) Nein | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/negative_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja |
| AWS Glue | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/negative_icon.svg) Nein |
| AWS IoT Events | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/negative_icon.svg) Nein | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/negative_icon.svg) Nein | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/negative_icon.svg) Nein | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/negative_icon.svg) Nein |
| AWS IoT SiteWise | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/negative_icon.svg) Nein | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/negative_icon.svg) Nein | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/negative_icon.svg) Nein | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/negative_icon.svg) Nein |
| AWS Lake Formation | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja |
| AWS re:Post Private | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/negative_icon.svg) Nein | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/negative_icon.svg) Nein |
| AWS Supply Chain | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/negative_icon.svg) Nein | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/negative_icon.svg) Nein |
| AWS Systems Manager | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/negative_icon.svg) Nein | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/negative_icon.svg) Nein | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg)Ja — Fleet Manager Remote Desktop |
| AWS Transfer Family Web-Apps | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/negative_icon.svg) Nein |
| AWS Transformation | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/negative_icon.svg) Nein | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/negative_icon.svg) Nein |
| AWS Verified Access | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/negative_icon.svg) Nein | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/negative_icon.svg) Nein | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/negative_icon.svg) Nein |
| Kiro | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg)Ja 1 | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/negative_icon.svg) Nein |
| Mehrparteien-Genehmigung | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/negative_icon.svg) Nein | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/negative_icon.svg) Nein |
| OpenSearch user interface (Dashboards) | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/success_icon.svg) Ja | ![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/negative_icon.svg) Nein |
1 Für Kiro werden Kontoinstanzen von IAM Identity Center unterstützt, es sei denn, Ihre Benutzer benötigen Zugriff auf alle Funktionen von Kiro auf Websites. AWS *Weitere Informationen finden Sie unter Kiro [einrichten im Kiro User](https://docs.aws.amazon.com/amazonq/latest/qdeveloper-ug/getting-started-q-dev.html) Guide.*
2 Für Amazon Redshift werden Account-Instances von IAM Identity Center unterstützt, mit Ausnahme von Anwendungen wie Query Editor v2, für die Berechtigungssätze erforderlich sind, die von Account-Instances nicht unterstützt werden.
**Anmerkung**
Einige AWS Dienste wie Amazon Connect AWS Client VPN sind in dieser Tabelle nicht aufgeführt, obwohl Sie sie mit IAM Identity Center verwenden können. Dies liegt daran, dass sie ausschließlich über SAML in IAM Identity Center integriert werden und daher als vom [Kunden](customermanagedapps.md) verwaltete Anwendungen eingestuft werden.
# Schnellstart: Einrichtung von IAM Identity Center zum Testen verwalteter Anwendungen AWS
Wenn Ihr Administrator Ihnen noch keinen Zugriff auf IAM Identity Center gewährt hat, können Sie die Schritte in diesem Thema verwenden, um IAM Identity Center zum Testen AWS verwalteter Anwendungen einzurichten. Sie erfahren, wie Sie IAM Identity Center aktivieren, einen Benutzer direkt in IAM Identity Center erstellen und diesen Benutzer einer verwalteten Anwendung zuweisen. AWS
Dieses Thema enthält Schnellstartschritte zur Aktivierung von IAM Identity Center auf eine der folgenden Arten:
+ **Mit AWS Organizations** — Wenn Sie diese Option wählen, wird eine *Organisationsinstanz* von IAM Identity Center erstellt.
+ **Nur in Ihrem speziellen** Fall AWS-Konto— Wenn Sie diese Option wählen, wird eine *Kontoinstanz* von IAM Identity Center erstellt.
Informationen zu diesen Instance-Typen finden Sie unter[Organisations- und Kontoinstanzen von IAM Identity Center](identity-center-instances.md).
## Voraussetzungen
Bevor Sie IAM Identity Center aktivieren, überprüfen Sie Folgendes:
+ **Sie haben eine AWS-Konto** — Falls Sie noch keine haben AWS-Konto, finden Sie weitere Informationen unter [Erste Schritte mit einer AWS-Konto](https://docs.aws.amazon.com//accounts/latest/reference/getting-started.html) im *Referenzhandbuch zur AWS Kontoverwaltung.*
+ **Die AWS verwaltete Anwendung funktioniert mit IAM Identity Center** — Überprüfen Sie anhand der [AWS verwaltete Anwendungen, die Sie mit IAM Identity Center verwenden können](awsapps-that-work-with-identity-center.md) Liste, ob die AWS verwaltete Anwendung, die Sie testen möchten, mit IAM Identity Center funktioniert.
+ **Sie haben die regionalen Überlegungen gelesen**. Stellen Sie sicher, dass die AWS verwaltete Anwendung, die Sie testen möchten, in dem Land unterstützt wird, in AWS-Region dem Sie IAM Identity Center aktivieren. Weitere Informationen finden Sie in der Dokumentation zur AWS verwalteten Anwendung.
**Anmerkung**
Sie müssen Ihre AWS verwaltete Anwendung in derselben Region bereitstellen, in der Sie IAM Identity Center aktivieren möchten.
## Einrichtung einer Organisationsinstanz von IAM Identity Center zum Testen AWS verwalteter Anwendungen
**Anmerkung**
In diesem Thema wird beschrieben, wie IAM Identity Center aktiviert wird. Dies ist die empfohlene Methode zur Aktivierung von IAM Identity Center. AWS Organizations
**Bestätigen Sie Ihre Berechtigungen**
Um IAM Identity Center mit zu aktivieren AWS Organizations, müssen Sie sich mit einer der folgenden Methoden bei der AWS Management Console anmelden:
+ Ein Benutzer mit Administratorrechten in dem Bereich, in AWS-Konto dem IAM Identity Center aktiviert wird. AWS Organizations
+ Der Root-Benutzer (nicht empfohlen, es sei denn, es gibt keine anderen Administratorbenutzer).
**Wichtig**
Der Root-Benutzer hat Zugriff auf alle AWS Dienste und Ressourcen im Konto. Aus Sicherheitsgründen sollten Sie nicht die Root-Anmeldeinformationen Ihres Kontos für den Zugriff auf AWS Ressourcen verwenden, es sei denn, Sie haben keine anderen Anmeldeinformationen. Diese Anmeldeinformationen bieten uneingeschränkten Zugriff auf Konten und können nur schwer widerrufen werden.
### Schritt 1. Aktivieren Sie IAM Identity Center mit AWS Organizations
1. Gehen Sie wie folgt vor, um sich bei der AWS-Managementkonsole anzumelden.
+ **Neu bei AWS (Root-Benutzer)** — Melden Sie sich als Kontoinhaber an, indem Sie **Root-Benutzer** auswählen und Ihre AWS-Konto E-Mail-Adresse eingeben. Geben Sie auf der nächsten Seite Ihr Passwort ein.
+ **Verwenden Sie AWS bereits eine eigenständige Version AWS-Konto (IAM-Anmeldeinformationen)** — Melden Sie sich mit Ihren IAM-Anmeldeinformationen und Administratorrechten an.
1. Wählen Sie auf der Startseite der AWS Management Console den IAM Identity Center-Dienst aus oder navigieren Sie zur [IAM](https://console.aws.amazon.com/singlesignon) Identity Center-Konsole.
1. Wählen Sie **Aktivieren** und aktivieren Sie IAM Identity Center mit. AWS Organizations Wenn Sie dies tun, erstellen Sie eine [Organisationsinstanz](organization-instances-identity-center.md) von IAM Identity Center.
### Schritt 2. Erstellen Sie einen Administratorbenutzer in IAM Identity Center
Dieses Verfahren beschreibt, wie Sie einen Benutzer direkt im integrierten Identity Center-Verzeichnis erstellen. Dieses Verzeichnis ist mit keinem anderen Verzeichnis verbunden, das Ihr Administrator möglicherweise zur Verwaltung von Workforce-Benutzern verwendet. Nachdem Sie den Benutzer in IAM Identity Center erstellt haben, geben Sie neue Anmeldeinformationen für diesen Benutzer an. Wenn Sie sich als dieser Benutzer anmelden, um Ihre AWS verwaltete Anwendung zu testen, melden Sie sich mit den neuen Anmeldeinformationen an, nicht mit den vorhandenen Anmeldeinformationen, die Sie für den Zugriff auf Unternehmensressourcen verwenden.
**Anmerkung**
Wir empfehlen, dass Sie diese Methode nur zu Testzwecken verwenden, um Benutzer zu erstellen.
1. Wählen Sie im Navigationsbereich der IAM Identity Center-Konsole **Benutzer** und dann **Benutzer hinzufügen** aus.
1. Folgen Sie den Anweisungen in der Konsole, um den Benutzer hinzuzufügen. Wählen **Sie „E-Mail an diesen Benutzer mit Anweisungen zur Passworteinrichtung senden**“ aus und stellen Sie sicher, dass Sie eine E-Mail-Adresse angeben, auf die Sie Zugriff haben.
1. Wählen Sie AWS-Konten im Navigationsbereich das Kontrollkästchen neben Ihrem Konto aus und wählen Sie **Benutzer oder Gruppen zuweisen** aus.
1. Wählen Sie die Registerkarte **Benutzer**, aktivieren Sie das Kontrollkästchen neben dem Benutzer, den Sie gerade hinzugefügt haben, und klicken Sie auf **Weiter**.
1. Wählen Sie „**Berechtigungssatz erstellen**“ und folgen Sie den Anweisungen in der Konsole, um den `AdministratorAccess` vordefinierten Berechtigungssatz zu erstellen.
1. Wenn Sie fertig sind, wird der neue Berechtigungssatz in der Liste angezeigt. Schließen Sie die Registerkarte **Berechtigungssätze** in Ihrem Browserfenster, kehren **Sie zur Registerkarte Benutzer und Gruppen zuweisen** zurück und wählen Sie das Aktualisierungssymbol neben **Berechtigungssatz erstellen**.
1. Auf der Browser-Registerkarte „**Benutzer und Gruppen zuweisen**“ wird der neue Berechtigungssatz in der Liste angezeigt. Aktivieren Sie das Kontrollkästchen neben dem Namen des Berechtigungssatzes, klicken Sie auf **Weiter** und dann auf **Absenden**.
1. Melden Sie sich bei der -Konsole ab.
### Schritt 3. Melden Sie sich als Administratorbenutzer beim AWS Access Portal an
Das AWS Zugriffsportal ist ein Webportal, das dem von Ihnen erstellten Benutzer Zugriff auf die AWS Managementkonsole bietet. Bevor Sie sich beim AWS Access Portal anmelden können, müssen Sie die Einladung zum Beitritt zu IAM Identity Center annehmen und Ihre Benutzeranmeldedaten aktivieren.
1. Suchen Sie in Ihrer E-Mail nach der Betreffzeile **Einladung zum Beitritt zu AWS IAM Identity Center**.
1. Wählen Sie **Einladung annehmen** und folgen Sie den Anweisungen auf der Anmeldeseite, um ein neues Passwort festzulegen, sich anzumelden und ein MFA-Gerät für Ihren Benutzer zu registrieren.
1. Nachdem Sie Ihr MFA-Gerät registriert haben, wird das AWS Zugriffsportal geöffnet.
1. Wählen Sie im AWS Zugriffsportal Ihre aus AWS-Konto und wählen Sie **AdministratorAccess**. Sie werden zur AWS Management Console weitergeleitet.
### Schritt 4. Konfigurieren Sie die AWS verwaltete Anwendung für die Verwendung von IAM Identity Center
1. Während Sie bei der AWS Management Console angemeldet sind, öffnen Sie die Konsole für die AWS verwaltete Anwendung, die Sie verwenden möchten.
1. Folgen Sie den Anweisungen in der Konsole, um die AWS verwaltete Anwendung für die Verwendung von IAM Identity Center zu konfigurieren. Während dieses Vorgangs können Sie den Benutzer, den Sie erstellt haben, der Anwendung zuweisen.
## Einrichtung einer Kontoinstanz von IAM Identity Center zum Testen AWS verwalteter Anwendungen
**Anmerkung**
Eine Kontoinstanz von IAM Identity Center beschränkt Ihre Bereitstellung auf eine einzige AWS-Konto. Sie müssen diese Instanz in derselben Weise aktivieren AWS-Region wie die AWS Anwendung, die Sie testen möchten.
**Bestätigen Sie Ihre App**
Alle AWS verwalteten Anwendungen, die mit IAM Identity Center funktionieren, können mit Organisationsinstanzen von IAM Identity Center verwendet werden. Allerdings können nur einige dieser Anwendungen mit Kontoinstanzen von IAM Identity Center verwendet werden. Sehen Sie sich die Liste von an. [AWS verwaltete Anwendungen, die Sie mit IAM Identity Center verwenden können](awsapps-that-work-with-identity-center.md)
### Schritt 1. Aktivieren einer Konto-Instance von IAM Identity Center
1. Gehen Sie wie folgt vor, um sich bei der AWS-Managementkonsole anzumelden.
+ **Neu bei AWS (Root-Benutzer)** — Melden Sie sich als Kontoinhaber an, indem Sie **Root-Benutzer** auswählen und Ihre AWS-Konto E-Mail-Adresse eingeben. Geben Sie auf der nächsten Seite Ihr Passwort ein.
+ **Verwenden Sie AWS bereits eine eigenständige Version AWS-Konto (IAM-Anmeldeinformationen)** — Melden Sie sich mit Ihren IAM-Anmeldeinformationen und Administratorrechten an.
1. Wählen Sie auf der Startseite der AWS Management Console den IAM Identity Center-Dienst aus oder navigieren Sie zur [IAM](https://console.aws.amazon.com/singlesignon) Identity Center-Konsole.
1. Wählen Sie **Enable (Aktivieren)** aus.
1. Wählen Sie auf der AWS Organizations Seite „**IAM Identity Center aktivieren mit**“ die Option **Eine Kontoinstanz von IAM Identity Center aktivieren aus**.
1. Überprüfen Sie auf der Seite **Kontoinstanz von IAM Identity Center aktivieren** die Informationen und fügen Sie optional Tags hinzu, die Sie dieser Kontoinstanz zuordnen möchten. Wählen Sie dann **Aktivieren**.
### Schritt 2. Erstellen Sie einen Benutzer im IAM Identity Center
In diesem Verfahren wird beschrieben, wie Sie einen Benutzer direkt im integrierten Identity Center-Verzeichnis erstellen. Dieses Verzeichnis ist mit keinem anderen Verzeichnis verbunden, das Ihr Administrator möglicherweise zur Verwaltung von Workforce-Benutzern verwendet. Nachdem Sie den Benutzer in IAM Identity Center erstellt haben, geben Sie neue Anmeldeinformationen für diesen Benutzer an. Wenn Sie sich als dieser Benutzer anmelden, um Ihre AWS verwaltete Anwendung zu testen, melden Sie sich mit den neuen Anmeldeinformationen an. Mit den neuen Anmeldeinformationen können Sie nicht auf andere Unternehmensressourcen zugreifen.
**Anmerkung**
Es wird empfohlen, diese Methode nur zu Testzwecken zum Erstellen von Benutzern zu verwenden.
1. Wählen Sie im Navigationsbereich der IAM Identity Center-Konsole **Benutzer** und dann **Benutzer hinzufügen** aus.
1. Folgen Sie den Anweisungen in der Konsole, um den Benutzer hinzuzufügen. Wählen **Sie „E-Mail an diesen Benutzer mit Anweisungen zur Passworteinrichtung senden**“ aus und stellen Sie sicher, dass Sie eine E-Mail-Adresse angeben, auf die Sie Zugriff haben.
1. Melden Sie sich bei der -Konsole ab.
### Schritt 3. Melden Sie sich als Ihr IAM Identity Center-Benutzer beim AWS Zugriffsportal an
Das AWS Zugriffsportal ist ein Webportal, das dem von Ihnen erstellten Benutzer Zugriff auf die AWS Managementkonsole bietet. Bevor Sie sich beim AWS Access Portal anmelden können, müssen Sie die Einladung zum Beitritt zu IAM Identity Center annehmen und Ihre Benutzeranmeldedaten aktivieren.
1. Suchen Sie in Ihrer E-Mail nach der Betreffzeile **Einladung zum Beitritt zu AWS IAM Identity Center**.
1. Wählen Sie **Einladung annehmen** und folgen Sie den Anweisungen auf der Anmeldeseite, um ein neues Passwort festzulegen, sich anzumelden und ein MFA-Gerät für Ihren Benutzer zu registrieren.
1. Nachdem Sie Ihr MFA-Gerät registriert haben, wird das AWS Zugriffsportal geöffnet. Wenn Ihnen Anwendungen zur Verfügung stehen, finden Sie sie auf der Registerkarte **Anwendungen**.
**Anmerkung**
AWS Anwendungen, die Kontoinstanzen unterstützen, ermöglichen es Benutzern, sich bei Anwendungen anzumelden, ohne dass zusätzliche Berechtigungen erforderlich sind. Daher bleibt die Registerkarte **Konten** leer.
### Schritt 4. Konfigurieren Sie die AWS verwaltete Anwendung für die Verwendung von IAM Identity Center
1. Während Sie bei der AWS Management Console angemeldet sind, öffnen Sie die Konsole für die AWS verwaltete Anwendung, die Sie verwenden möchten.
1. Folgen Sie den Anweisungen in der Konsole, um die AWS verwaltete Anwendung für die Verwendung von IAM Identity Center zu konfigurieren. Während dieses Vorgangs können Sie den Benutzer, den Sie erstellt haben, der Anwendung zuweisen.
# Details zu einer AWS verwalteten Anwendung anzeigen und ändern
Nachdem Sie eine AWS verwaltete Anwendung über die Konsole oder APIs für die Anwendung mit IAM Identity Center verbunden haben, wird die Anwendung bei IAM Identity Center registriert. Nachdem eine Anwendung bei IAM Identity Center registriert wurde, können Sie Details zur Anwendung in der IAM Identity Center-Konsole anzeigen und ändern.
Zu den Informationen über die Anwendung gehören, ob Benutzer- und Gruppenzuweisungen erforderlich sind, und gegebenenfalls die zugewiesenen Benutzer und Gruppen sowie vertrauenswürdige Anwendungen für die Weitergabe von Identitäten. Hinweise zur Weitergabe vertrauenswürdiger Identitäten finden Sie unter[Überblick über die Verbreitung vertrauenswürdiger Identitäten](trustedidentitypropagation-overview.md).
**So können Sie Informationen zu einer AWS verwalteten Anwendung in der IAM Identity Center-Konsole anzeigen und ändern**
1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).
1. Wählen Sie **Applications (Anwendungen)**.
1. Wählen Sie die Registerkarte „**AWS Verwaltet**“.
1. Wählen Sie den Link für die verwaltete Anwendung, die Sie öffnen und ansehen möchten.
1. Wenn Sie Informationen zu einer AWS verwalteten Anwendung ändern möchten, wählen Sie **Aktion** und dann **Details bearbeiten**.
1. Sie können den Anzeigenamen und die Beschreibung der Anwendung sowie die Zuweisungsmethode für Benutzer und Gruppen ändern.
1. Um den Anzeigenamen zu ändern, geben Sie den gewünschten Namen in das Feld **Anzeigename** ein und wählen Sie **Änderungen speichern**.
1. Um die Beschreibung zu ändern, geben Sie die gewünschte Beschreibung in das Feld **Beschreibung** ein und wählen Sie **Änderungen speichern**.
1. Um die Zuweisungsmethode für Benutzer und Gruppen zu ändern, nehmen Sie die gewünschte Änderung vor und wählen Sie **Änderungen speichern**. Weitere Informationen finden Sie unter [Benutzer, Gruppen und Bereitstellung im IAM Identity Center](users-groups-provisioning.md).
# Deaktivierung einer AWS verwalteten Anwendung
Um zu verhindern, dass sich Benutzer bei einer AWS verwalteten Anwendung authentifizieren, können Sie die Anwendung in der IAM Identity Center-Konsole deaktivieren.
**Um eine verwaltete Anwendung zu AWS deaktivieren**
1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).
1. Wählen Sie **Applications (Anwendungen)**.
1. Wählen Sie auf der Seite **Anwendungen** unter **AWS Verwaltete Anwendungen** die Anwendung aus, die Sie deaktivieren möchten.
1. Wählen Sie bei ausgewählter Anwendung **Aktionen** und anschließend **Deaktivieren** aus.
1. Wählen **Sie im Dialogfeld „Anwendung deaktivieren**“ die Option „**Deaktivieren**“.
1. In der Liste der **AWS verwalteten Anwendungen** wird der Anwendungsstatus als **Inaktiv** angezeigt.
**Anmerkung**
**Wenn eine AWS verwaltete Anwendung deaktiviert ist, können Sie die Fähigkeit der Benutzer wiederherstellen, sich bei der Anwendung zu authentifizieren, indem Sie **Aktionen und dann Aktivieren** wählen.**
# Konsolensitzungen mit verbesserter Identität aktivieren
Eine Sitzung mit verbesserter Identität für die Konsole verbessert die Konsolensitzung eines Benutzers AWS , indem sie zusätzlichen Benutzerkontext bereitstellt, um die Benutzererfahrung zu personalisieren. Diese Funktion wird derzeit für Kiro Pro-Benutzer von [Kiro](https://docs.aws.amazon.com/amazonq/latest/qdeveloper-ug/q-on-aws.html) in Apps und Websites unterstützt. AWS
Sie können Konsolensitzungen mit verbesserter Identität aktivieren, ohne Änderungen an den bestehenden Zugriffsmustern oder dem Verbund in der Konsole vornehmen zu müssen. AWS Wenn sich Ihre Benutzer mit IAM an der AWS Konsole anmelden (z. B. wenn sie sich als IAM-Benutzer oder über Verbundzugriff mit IAM anmelden), können sie diese Methoden weiterhin verwenden. Wenn sich Ihre Benutzer beim AWS Zugriffsportal anmelden, können sie weiterhin ihre IAM Identity Center-Benutzeranmeldedaten verwenden.
**Topics**
+ [Voraussetzungen und Überlegungen](#prereqs-and-considerations)
+ [Wie aktiviert man Sitzungen identity-enhanced-console](#enable-identity-enhanced-sessions-q)
+ [So funktionieren Konsolensitzungen mit verbesserter Identität](#how-identity-enhanced-sessions-work)
## Voraussetzungen und Überlegungen
Bevor Sie Konsolensitzungen mit erweiterter Identität aktivieren, sollten Sie sich mit den folgenden Voraussetzungen und Überlegungen vertraut machen:
+ Wenn Ihre Benutzer über ein Kiro Pro-Abonnement über AWS Apps und Websites auf Kiro zugreifen, müssen Sie Konsolensitzungen mit verbesserter Identität aktivieren.
**Anmerkung**
Kiro-Benutzer können ohne identitätserweiterte Sitzungen auf Kiro zugreifen, haben jedoch keinen Zugriff auf ihre Kiro Pro-Abonnements.
+ [Konsolensitzungen mit erweiterter Identität erfordern eine Organisationsinstanz von IAM Identity Center.](organization-instances-identity-center.md)
+ Die Integration mit Kiro wird nicht unterstützt, wenn Sie IAM Identity Center in einem Opt-In aktivieren. AWS-Region
+ Um Konsolensitzungen mit verbesserter Identität zu aktivieren, benötigen Sie die folgenden Berechtigungen:
+ `sso:CreateApplication`
+ `sso:GetSharedSsoConfiguration`
+ `sso:ListApplications`
+ `sso:PutApplicationAssignmentConfiguration`
+ `sso:PutApplicationAuthenticationMethod`
+ `sso:PutApplicationGrant`
+ `sso:PutApplicationAccessScope`
+ `signin:CreateTrustedIdentityPropagationApplicationForConsole`
+ `signin:ListTrustedIdentityPropagationApplicationsForConsole`
+ Damit Ihre Benutzer Konsolensitzungen mit verbesserter Identität verwenden können, müssen Sie ihnen die entsprechenden `sts:setContext` Berechtigungen in einer identitätsbasierten Richtlinie erteilen. Weitere Informationen finden Sie unter [Benutzern Berechtigungen zur Nutzung von Konsolensitzungen mit erweiterter Identität gewähren](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_control-access_sts-setcontext.html).
## Wie aktiviert man Sitzungen identity-enhanced-console
Sie können Konsolensitzungen mit verbesserter Identität in der Kiro-Konsole oder in der IAM Identity Center-Konsole aktivieren.
**Aktivieren Sie Konsolensitzungen mit verbesserter Identität in der Kiro-Konsole**
Bevor Sie Konsolensitzungen mit erweiterter Identität aktivieren können, müssen Sie über eine Organisationsinstanz von IAM Identity Center verfügen, an die eine Identitätsquelle angeschlossen ist. Wenn Sie IAM Identity Center bereits konfiguriert haben, fahren Sie mit Schritt 3 fort.
1. Öffnen Sie die IAM-Identity-Center-Konsole. Wählen Sie **Aktivieren** und erstellen Sie eine Organisationsinstanz von IAM Identity Center. Weitere Informationen finden Sie unter [IAM Identity Center aktivieren](enable-identity-center.md).
1. Connect Ihre Identitätsquelle mit IAM Identity Center und stellen Sie Benutzern Zugriff auf IAM Identity Center zur Verfügung. Sie können Ihre bestehende Identitätsquelle mit IAM Identity Center verbinden oder das Identity Center-Verzeichnis verwenden, falls Sie nicht bereits eine andere Identitätsquelle verwenden. Weitere Informationen finden Sie unter [Tutorials zu Identitätsquellen im IAM Identity Center](tutorials.md).
1. Nachdem Sie die Einrichtung von IAM Identity Center abgeschlossen haben, öffnen Sie die Kiro-Konsole und folgen Sie den Schritten unter [Abonnements](https://docs.aws.amazon.com/amazonq/latest/qdeveloper-ug/q-admin-setup-subscribe-management-account.html) im *Kiro* User Guide. Stellen Sie sicher, dass Sie Konsolensitzungen mit verbesserter Identität aktivieren.
**Anmerkung**
Wenn Sie nicht über ausreichende Berechtigungen verfügen, um Konsolensitzungen mit erweiterter Identität zu aktivieren, müssen Sie möglicherweise einen IAM Identity Center-Administrator bitten, diese Aufgabe in der IAM Identity Center-Konsole für Sie auszuführen. Weitere Informationen finden Sie im nächsten Verfahren .
**Aktivieren Sie Konsolensitzungen mit erweiterter Identität in der IAM Identity Center-Konsole**
Wenn Sie ein IAM Identity Center-Administrator sind, werden Sie möglicherweise von einem anderen Administrator aufgefordert, identitätserweiterte Konsolensitzungen in der IAM Identity Center-Konsole zu aktivieren.
1. Öffnen Sie die IAM-Identity-Center-Konsole.
1. Wählen Sie im Navigationsbereich **Settings** (Einstellungen).
1. **Wählen **Sie unter „Identitätserweiterte Sitzungen aktivieren“ die Option Aktivieren aus**.**
1. **Wählen Sie in der zweiten Nachricht die Option Aktivieren aus.**
1. Nachdem Sie die Aktivierung von Konsolensitzungen mit verbesserter Identität abgeschlossen haben, wird oben auf der **Einstellungsseite** eine Bestätigungsmeldung angezeigt.
1. **Im Abschnitt „**Details“ lautet** der Status für **Identity-Enhanced** Sessions auf Aktiviert.**
## So funktionieren Konsolensitzungen mit verbesserter Identität
IAM Identity Center erweitert die aktuelle Konsolensitzung eines Benutzers um die ID des aktiven IAM Identity Center-Benutzers und die IAM Identity Center-Sitzungs-ID.
Konsolensitzungen mit erweiterter Identität beinhalten die folgenden drei Werte:
+ **Benutzer-ID des Identitätsspeichers** ([Identitätsspeicher: UserId](condition-context-keys-sts-idc.md#condition-keys-identity-store-user-id)) — Dieser Wert wird verwendet, um einen Benutzer in der Identitätsquelle, die mit IAM Identity Center verbunden ist, eindeutig zu identifizieren.
+ **Identitätsspeicher-Verzeichnis ARN** ([Identitätsspeicher: IdentityStoreArn](condition-context-keys-sts-idc.md#condition-keys-identity-store-arn)) — Dieser Wert ist der ARN des Identitätsspeichers, der mit IAM Identity Center verbunden ist und für `identitystore:UserId` den Sie nach Attributen suchen können.
+ **IAM Identity Center-Sitzungs-ID** — Dieser Wert gibt an, ob die IAM Identity Center-Sitzung des Benutzers noch gültig ist.
Die Werte sind identisch, werden jedoch auf unterschiedliche Weise abgerufen und zu unterschiedlichen Zeitpunkten des Vorgangs hinzugefügt, je nachdem, wie sich der Benutzer anmeldet:
+ **IAM Identity Center (AWS Zugriffsportal)**: In diesem Fall werden die Benutzer-ID und die ARN-Werte des Identitätsspeichers des Benutzers bereits in der aktiven IAM Identity Center-Sitzung bereitgestellt. IAM Identity Center erweitert die aktuelle Sitzung, indem nur die Sitzungs-ID hinzugefügt wird.
+ **Andere Anmeldemethoden**: Wenn sich der Benutzer AWS als IAM-Benutzer, mit einer IAM-Rolle oder als Verbundbenutzer mit IAM anmeldet, wird keiner dieser Werte bereitgestellt. IAM Identity Center erweitert die aktuelle Sitzung um die Benutzer-ID des Identitätsspeichers, den ARN des Identitätsspeicher-Verzeichnisses und die Sitzungs-ID.
# Vom Kunden verwaltete Anwendungen
IAM Identity Center fungiert als zentraler Identitätsdienst für die Benutzer und Gruppen Ihrer Belegschaft. Wenn Sie bereits einen Identitätsanbieter (IdP) verwenden, kann IAM Identity Center in Ihren IdP integriert werden, sodass Sie Ihre Benutzer und Gruppen in IAM Identity Center bereitstellen und Ihren IdP für die Authentifizierung verwenden können. Mit einer einzigen Verbindung stellt IAM Identity Center Ihren IdP vor mehreren dar AWS-Services und ermöglicht es Ihren OAuth 2.0-Anwendungen, im Namen Ihrer Benutzer Zugriff auf Daten in diesen Diensten anzufordern. Sie können IAM Identity Center auch verwenden, um Ihren Benutzern Zugriff auf [SAML](https://wiki.oasis-open.org/security) 2.0-Anwendungen zuzuweisen. Dazu gehören AWS Dienste wie Amazon Connect und AWS Client VPN, die ausschließlich über SAML in IAM Identity Center integriert sind und daher als vom Kunden verwaltete Anwendungen eingestuft werden.
+ Wenn Ihre Anwendung **JSON Web Tokens (JWTs)** unterstützt, können Sie die Funktion zur Weitergabe vertrauenswürdiger Identitäten von IAM Identity Center verwenden, damit Ihre Anwendung im Namen Ihrer Benutzer Zugriff AWS-Services auf Daten anfordern kann. Trusted Identity Propagation basiert auf dem OAuth 2.0 Authorization Framework und beinhaltet eine Option für Anwendungen, Identitätstoken, die von einem externen OAuth 2.0-Autorisierungsserver stammen, gegen Token auszutauschen, die von IAM Identity Center ausgestellt und von IAM Identity Center anerkannt wurden. AWS-Services Weitere Informationen finden Sie unter [Anwendungsfälle für die Verbreitung vertrauenswürdiger Identitäten](trustedidentitypropagation-integrations.md).
+ Wenn Ihre Anwendung **SAML 2.0** unterstützt, können Sie sie mit einer [Organisationsinstanz von IAM](identity-center-instances.md) Identity Center verbinden. Sie können IAM Identity Center verwenden, um Ihrer SAML 2.0-Anwendung Zugriff zuzuweisen.
**Anmerkung**
Überprüfen Sie bei der Integration von kundenverwalteten Anwendungen mit einer IAM Identity Center-Instanz, die einen vom [Kunden verwalteten KMS-Schlüssel](encryption-at-rest.md) verwendet, ob die Anwendung den IAM Identity Center-Dienst aufruft, APIs um zu bestätigen, ob die Anwendung KMS-Schlüsselberechtigungen benötigt. Folgen Sie den Anweisungen zur Gewährung von KMS-Schlüsselberechtigungen für benutzerdefinierte Workflows in den [grundlegenden](baseline-KMS-key-policy.md#baseline-kms-key-policy-statements-for-use-of-custom-workflows-with-iam-identity-center) KMS-Schlüsselrichtlinien des IAM Identity Center-Benutzerhandbuchs.
**Topics**
+ [Single Sign-On-Zugriff auf SAML 2.0- und 2.0-Anwendungen OAuth](customermanagedapps-saml2-oauth2.md)
+ [Einrichtung von vom Kunden verwalteten SAML 2.0-Anwendungen](customermanagedapps-saml2-setup.md)
# Single Sign-On-Zugriff auf SAML 2.0- und 2.0-Anwendungen OAuth
Mit IAM Identity Center können Sie Ihren Benutzern Single Sign-On-Zugriff auf SAML 2.0- oder 2.0-Anwendungen gewähren. OAuth Die folgenden Themen bieten einen allgemeinen Überblick über SAML 2.0 und 2.0. OAuth
**Topics**
+ [SAML 2.0](#samlfederationconcept)
+ [OAuth 2.0](#oidc-concept)
## SAML 2.0
SAML 2.0 ist ein Industriestandard, der für den sicheren Austausch von SAML-Assertions verwendet wird, die Informationen über einen Benutzer zwischen einer SAML-Behörde (als Identitätsanbieter oder IdP bezeichnet) und einem SAML 2.0-Verbraucher (als Service Provider oder SP bezeichnet) weitergeben. IAM Identity Center verwendet diese Informationen, um Benutzern, die berechtigt sind, Anwendungen innerhalb des Zugriffsportals zu verwenden, einen föderierten Single-Sign-On-Zugriff bereitzustellen. AWS
**Anmerkung**
IAM Identity Center unterstützt nicht die Überprüfung von Signaturen eingehender SAML-Authentifizierungsanfragen von SAML-Anwendungen.
## OAuth 2.0
OAuth 2.0 ist ein Protokoll, mit dem Anwendungen sicher auf Benutzerdaten zugreifen und diese teilen können, ohne Passwörter weitergeben zu müssen. Diese Funktion bietet Benutzern eine sichere und standardisierte Möglichkeit, Anwendungen den Zugriff auf ihre Ressourcen zu gewähren. Der Zugang wird durch verschiedene OAuth 2.0-Zuschüsse erleichtert.
Mit IAM Identity Center können Anwendungen, die auf öffentlichen Clients ausgeführt werden, temporäre Anmeldeinformationen für den Zugriff AWS-Konten und die Dienste programmgesteuert im Namen ihrer Benutzer abrufen. Öffentliche Clients sind in der Regel Desktops, Laptops oder andere mobile Geräte, die zur lokalen Ausführung von Anwendungen verwendet werden. Beispiele für AWS Anwendungen, die auf öffentlichen Clients ausgeführt werden, sind die AWS Command Line Interface (AWS CLI) AWS Toolkit, und AWS Software Development Kits (SDKs). Damit diese Anwendungen Anmeldeinformationen abrufen können, unterstützt IAM Identity Center Teile der folgenden OAuth 2.0-Flows:
+ [Autorisierungscode-Erteilung mit Proof Key for Code Exchange (PKCE) ([RFC 6749 und RFC 7636](https://www.rfc-editor.org/rfc/rfc6749#section-4.1))](https://www.rfc-editor.org/rfc/rfc7636)
+ [Erteilung der Geräteautorisierung (RFC 8628)](https://datatracker.ietf.org/doc/html/rfc8628)
**Anmerkung**
Diese Arten von Zuschüssen können nur verwendet werden, wenn sie AWS-Services diese Funktion unterstützen. Diese Dienste unterstützen diesen Zuschusstyp möglicherweise nicht vollständig AWS-Regionen. Informationen zu den regionalen Unterschieden finden Sie in der Dokumentation. AWS-Services
OpenID Connect (OIDC) ist ein Authentifizierungsprotokoll, das auf dem OAuth 2.0 Framework basiert. OIDC spezifiziert, wie 2.0 für die Authentifizierung verwendet wird. OAuth Über den [IAM Identity Center OIDC-Dienst](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_Operations.html) registriert eine Anwendung einen OAuth 2.0-Client und verwendet einen dieser Datenflüsse APIs, um ein Zugriffstoken abzurufen, das Berechtigungen für IAM Identity Center protected gewährt. APIs Eine Anwendung gibt [Zugriffsbereiche an, um ihren beabsichtigten API-Benutzer](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#scopes-oidc) zu deklarieren. Nachdem Sie als IAM Identity Center-Administrator Ihre Identitätsquelle konfiguriert haben, müssen Ihre Anwendungsendbenutzer einen Anmeldevorgang abschließen, sofern sie dies noch nicht getan haben. Ihre Endbenutzer müssen dann ihre Zustimmung geben, damit die Anwendung API-Aufrufe tätigen darf. Diese API-Aufrufe werden mit den Benutzerberechtigungen getätigt. Als Antwort gibt IAM Identity Center ein Zugriffstoken an die Anwendung zurück, das die Zugriffsbereiche enthält, denen die Benutzer zugestimmt haben.
### Es wird ein 2.0-Grant-Flow OAuth verwendet
OAuth 2.0-Zuschüsse sind nur über AWS verwaltete Anwendungen verfügbar, die die Zuschüsse unterstützen. Um einen OAuth 2.0-Flow verwenden zu können, müssen Ihre Instanz von IAM Identity Center und alle unterstützten AWS verwalteten Anwendungen, die Sie verwenden, in einer einzigen AWS-Region Instanz bereitgestellt werden. Die regionale Verfügbarkeit der AWS verwalteten Anwendungen und AWS-Service die IAM Identity Center-Instanz, die Sie verwenden möchten, finden Sie in der jeweiligen Dokumentation.
Um eine Anwendung zu verwenden, die einen OAuth 2.0-Flow verwendet, muss der Endbenutzer die URL eingeben, unter der die Anwendung eine Verbindung mit Ihrer IAM Identity Center-Instanz herstellt und sich dort registriert. Je nach Anwendung müssen Sie als Administrator Ihren Benutzern die URL des **AWS Zugriffsportals oder die Aussteller-URL** **Ihrer IAM Identity Center-Instanz** zur Verfügung stellen. **Sie finden diese beiden Einstellungen auf der Einstellungsseite der [IAM Identity Center-Konsole](https://console.aws.amazon.com/singlesignon/).** Weitere Informationen zur Konfiguration einer Client-Anwendung finden Sie in der Dokumentation der jeweiligen Anwendung.
Wie der Endbenutzer sich bei einer Anwendung anmeldet und seine Zustimmung erteilt, hängt davon ab, ob die Anwendung das [Erteilung des Autorisierungscodes mit PKCE](#auth-code-grant-pkce) Oder verwendet[Geräteautorisierung gewähren](#device-auth-grant).
#### Erteilung des Autorisierungscodes mit PKCE
Dieser Ablauf wird von Anwendungen verwendet, die auf einem Gerät ausgeführt werden, das über einen Browser verfügt.
1. Es wird ein Browserfenster geöffnet.
1. Wenn sich der Benutzer nicht authentifiziert hat, leitet ihn der Browser weiter, um die Benutzerauthentifizierung abzuschließen.
1. Nach der Authentifizierung wird dem Benutzer ein Zustimmungsbildschirm angezeigt, auf dem die folgenden Informationen angezeigt werden:
+ Der Name der Anwendung
+ Die Zugriffsbereiche, für deren Verwendung die Anwendung um Zustimmung bittet
1. Der Benutzer kann den Einwilligungsprozess abbrechen oder seine Zustimmung geben und der Antrag setzt den Zugriff auf der Grundlage der Benutzerberechtigungen fort.
#### Geräteautorisierung gewähren
Dieser Flow kann von Anwendungen verwendet werden, die auf einem Gerät mit oder ohne Browser ausgeführt werden. Wenn die Anwendung den Flow initiiert, präsentiert die Anwendung eine URL und einen Benutzercode, die der Benutzer später im Flow überprüfen muss. Der Benutzercode ist erforderlich, da die Anwendung, die den Flow initiiert, möglicherweise auf einem anderen Gerät läuft als dem Gerät, auf dem der Benutzer seine Zustimmung erteilt. Der Code stellt sicher, dass der Benutzer dem Flow zustimmt, den er auf dem anderen Gerät initiiert hat.
**Anmerkung**
Wenn Sie Kunden verwenden`device.sso.region.amazonaws.com`, müssen Sie Ihren Autorisierungsablauf aktualisieren, um Proof Key for Code Exchange (PKCE) zu verwenden. Weitere Informationen finden Sie unter [Konfiguration der IAM Identity Center-Authentifizierung mit dem AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-sso.html) im *AWS Command Line Interface Benutzerhandbuch*.
1. Wenn der Flow von einem Gerät mit einem Browser aus initiiert wird, wird ein Browserfenster geöffnet. Wenn der Flow von einem Gerät ohne Browser aus initiiert wird, muss der Benutzer einen Browser auf einem anderen Gerät öffnen und zu der URL wechseln, die von der Anwendung angezeigt wurde.
1. In beiden Fällen leitet der Browser den Benutzer weiter, um die Benutzerauthentifizierung abzuschließen, wenn er sich nicht authentifiziert hat.
1. Nach der Authentifizierung wird dem Benutzer ein Zustimmungsbildschirm angezeigt, auf dem die folgenden Informationen angezeigt werden:
+ Der Name der Anwendung
+ Die Zugriffsbereiche, für deren Verwendung die Anwendung um Zustimmung bittet
+ Der Benutzercode, den die Anwendung dem Benutzer präsentiert hat
1. Der Benutzer kann den Einwilligungsprozess abbrechen oder seine Zustimmung geben, sodass die Anwendung auf der Grundlage der Benutzerberechtigungen mit dem Zugriff fortfährt.
### Bereiche des Zugriffs
Ein *Bereich* definiert den Zugriff auf einen Dienst, auf den über einen OAuth 2.0-Flow zugegriffen werden kann. Bereiche sind eine Möglichkeit für den Dienst, der auch als Ressourcenserver bezeichnet wird, Berechtigungen in Bezug auf Aktionen und die Dienstressourcen zu gruppieren, und sie spezifizieren die groben Operationen, die OAuth 2.0-Clients anfordern können. Wenn sich ein OAuth 2.0-Client beim [IAM Identity Center OIDC-Dienst](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/Welcome.html) registriert, legt der Client die Bereiche fest, in denen die beabsichtigten Aktionen deklariert werden, für die der Benutzer seine Zustimmung geben muss.
OAuth 2.0-Clients verwenden `scope` Werte, wie sie in [Abschnitt 3.3 von OAuth 2.0 (RFC 6749)](https://www.rfc-editor.org/rfc/rfc6749.html#section-3.3) definiert sind, um anzugeben, welche Berechtigungen für ein Zugriffstoken angefordert werden. Clients können maximal 25 Bereiche angeben, wenn sie ein Zugriffstoken anfordern. Wenn ein Benutzer im Rahmen einer Autorisierungscode-Gewährung mit PKCE oder Device Authorization Grant seine Zustimmung erteilt, codiert IAM Identity Center die Bereiche in das zurückgegebene Zugriffstoken.
AWS fügt dem IAM Identity Center Bereiche für unterstützte Bereiche hinzu. AWS-Services In der folgenden Tabelle sind die Bereiche aufgeführt, die der IAM Identity Center OIDC-Dienst unterstützt, wenn Sie einen öffentlichen Client registrieren.
#### Greifen Sie bei der Registrierung eines öffentlichen Clients auf Bereiche zu, die vom IAM Identity Center OIDC-Dienst unterstützt werden
****
| Scope | Description | Dienste, die unterstützt werden von |
| --- | --- | --- |
| sso:account:access | Greifen Sie auf verwaltete Konten und Berechtigungssätze von IAM Identity Center zu. | IAM Identity Center |
| codewhisperer:analysis | Ermöglichen Sie den Zugriff auf die Kiro-Codeanalyse. | AWS Builder ID und IAM Identity Center |
| codewhisperer:completions | Ermöglichen Sie den Zugriff auf Kiro Inline-Code-Vorschläge. | AWS Builder ID und IAM Identity Center |
| codewhisperer:conversations | Aktivieren Sie den Zugriff auf den Kiro-Chat. | AWS Builder ID und IAM Identity Center |
| codewhisperer:taskassist | Ermöglichen Sie den Zugriff auf Kiro Agent für die Softwareentwicklung. | AWS Builder ID und IAM Identity Center |
| codewhisperer:transformations | Ermöglichen Sie den Zugriff auf Kiro Agent für die Codetransformation. | AWS Builder ID und IAM Identity Center |
| codecatalyst:read\$1write | Lesen und Schreiben in Ihre CodeCatalyst Amazon-Ressourcen, sodass Sie auf all Ihre vorhandenen Ressourcen zugreifen können. | AWS Builder ID und IAM Identity Center |
| verified\$1access:application:connect | Aktivieren AWS Verified Access | AWS Verified Access |
| redshift:connect | Connect zu Amazon Redshift her | Amazon Redshift |
| datazone:domain:access | Greifen Sie auf Ihre DataZone Domain-Ausführungsrolle zu | Amazon DataZone |
| nosqlworkbench:datamodeladviser | Datenmodelle erstellen und lesen | NoSQL Workbench |
| transform:read\$1write | Aktivieren Sie den Zugriff auf AWS Transform Agent für die Codetransformation | AWS Transformation |
# Einrichtung von vom Kunden verwalteten SAML 2.0-Anwendungen
Wenn Sie vom Kunden verwaltete Anwendungen verwenden, die [SAML 2.0](https://wiki.oasis-open.org/security) unterstützen, können Sie Ihren IdP über SAML 2.0 mit IAM Identity Center verbinden und IAM Identity Center verwenden, um den Benutzerzugriff auf diese Anwendungen zu verwalten. Sie können eine SAML 2.0-Anwendung aus einem Katalog häufig verwendeter Anwendungen in der IAM Identity Center-Konsole auswählen oder Ihre eigene SAML 2.0-Anwendung einrichten.
**Anmerkung**
Wenn Sie vom Kunden verwaltete Anwendungen haben, die OAuth 2.0 unterstützen, und Ihre Benutzer Zugriff auf diese Anwendungen benötigen AWS-Services, können Sie Trusted Identity Propagation verwenden. Mit Trusted Identity Propagation kann sich ein Benutzer bei einer Anwendung anmelden, und diese Anwendung kann die Identität des Benutzers bei Anfragen zum Zugriff auf Daten weitergeben AWS-Services.
**Topics**
+ [Richten Sie eine Anwendung aus dem IAM Identity Center-Anwendungskatalog ein](saasapps.md)
+ [Richten Sie Ihre eigene SAML 2.0-Anwendung ein](customermanagedapps-set-up-your-own-app-saml2.md)
# Richten Sie eine Anwendung aus dem IAM Identity Center-Anwendungskatalog ein
Sie können den Anwendungskatalog in der IAM Identity Center-Konsole verwenden, um viele häufig verwendete SAML 2.0-Anwendungen hinzuzufügen, die mit IAM Identity Center funktionieren. Beispiele hierfür sind Salesforce, Box und Microsoft 365.
Die meisten Anwendungen bieten detaillierte Informationen darüber, wie die Vertrauensstellung zwischen IAM Identity Center und dem Dienstanbieter der Anwendung eingerichtet wird. Diese Informationen sind auf der Konfigurationsseite für die Anwendung verfügbar, nachdem Sie die Anwendung im Katalog ausgewählt haben. Nachdem Sie die Anwendung konfiguriert haben, können Sie Benutzern oder Gruppen in IAM Identity Center nach Bedarf Zugriff zuweisen.
Gehen Sie wie folgt vor, um eine SAML 2.0-Vertrauensstellung zwischen IAM Identity Center und dem Dienstanbieter Ihrer Anwendung einzurichten.
Bevor Sie mit diesem Verfahren beginnen, ist es hilfreich, die Metadaten-Austauschdatei des Dienstanbieters zur Verfügung zu haben, damit Sie die Vertrauensstellung effizienter einrichten können. Wenn Sie nicht über diese Datei verfügen, können Sie dieses Verfahren trotzdem verwenden, um die Vertrauensstellung manuell zu konfigurieren.
**Um eine Anwendung aus dem Anwendungskatalog hinzuzufügen und zu konfigurieren**
1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).
1. Wählen Sie **Applications (Anwendungen)**.
1. Wählen Sie die Registerkarte **Vom Kunden verwaltet** aus.
1. Wählen Sie **Anwendung hinzufügen**.
1. **Wählen Sie auf der Seite Anwendungstyp** auswählen unter **Setup-Präferenz** die Option **Ich möchte eine Anwendung aus dem Katalog auswählen** aus.
1. Geben Sie unter **Anwendungskatalog** den Namen der Anwendung, die Sie hinzufügen möchten, in das Suchfeld ein.
1. Wählen Sie den Namen der Anwendung aus der Liste aus, wenn er in den Suchergebnissen angezeigt wird, und klicken Sie dann auf **Weiter**.
1. Auf der Seite **„Anwendung konfigurieren**“ sind die Felder **Anzeigename** und **Beschreibung** bereits mit relevanten Details für die Anwendung gefüllt. Sie können diese Informationen bearbeiten.
1. Gehen Sie unter **IAM Identity Center-Metadaten** wie folgt vor:
1. Wählen Sie unter **IAM Identity Center SAML-Metadatendatei die Option **Herunterladen** aus, um die Metadaten** des Identitätsanbieters herunterzuladen.
1. Wählen Sie unter **IAM Identity Center-Zertifikat** die Option **Zertifikat herunterladen** aus, um das Identitätsanbieter-Zertifikat herunterzuladen.
**Anmerkung**
Sie benötigen diese Dateien später, wenn Sie die Anwendung auf der Website des Dienstanbieters einrichten. Befolgen Sie die Anweisungen des Anbieters.
1. (Optional) Unter **Anwendungseigenschaften** können Sie die **Start-URL der Anwendung**, den **Relay-Status** und die **Sitzungsdauer** angeben. Weitere Informationen finden Sie unter [Machen Sie sich mit den Anwendungseigenschaften in der IAM Identity Center-Konsole vertraut](appproperties.md).
1. Führen Sie unter **Anwendungsmetadaten** einen der folgenden Schritte aus:
1. Wenn Sie über eine Metadatendatei verfügen, wählen Sie **SAML-Metadatendatei für die Anwendung hochladen** aus. Wählen Sie dann **Datei auswählen, nach der die Metadatendatei** gesucht werden soll, und wählen Sie sie aus.
1. Wenn Sie keine Metadatendatei haben, wählen Sie **Manuelles Eingeben Ihrer Metadatenwerte** und geben Sie dann die **ACS-URL der Anwendung** und die **SAML-Zielgruppenwerte für die Anwendung** an.
1. Wählen Sie **Absenden** aus. Sie werden zur Detailseite der Anwendung weitergeleitet, die Sie gerade hinzugefügt haben.
# Richten Sie Ihre eigene SAML 2.0-Anwendung ein
Sie können Ihre eigenen Anwendungen einrichten, die einen Identitätsverbund mit SAML 2.0 ermöglichen, und sie zu IAM Identity Center hinzufügen. Die meisten Schritte zum Einrichten Ihrer eigenen SAML 2.0-Anwendungen entsprechen dem Einrichten einer SAML 2.0-Anwendung aus dem Anwendungskatalog in der IAM Identity Center-Konsole. Sie müssen jedoch auch zusätzliche SAML-Attributzuordnungen für Ihre eigenen SAML 2.0-Anwendungen bereitstellen. Diese Zuordnungen ermöglichen es IAM Identity Center, die SAML 2.0-Assertion für Ihre Anwendung korrekt auszufüllen. Sie können diese zusätzliche SAML-Attributzuordnung bereitstellen, wenn Sie die Anwendung zum ersten Mal einrichten. Sie können SAML 2.0-Attributzuordnungen auch auf der Seite mit den Anwendungsdetails in der IAM Identity Center-Konsole angeben.
Gehen Sie wie folgt vor, um eine SAML 2.0-Vertrauensstellung zwischen IAM Identity Center und dem Dienstanbieter Ihrer SAML 2.0-Anwendung einzurichten. Bevor Sie damit beginnen, stellen Sie sicher, dass Sie die Zertifikatsdatei sowie die Austauschdatei mit den Metadaten des Service-Anbieters haben, damit Sie die Einrichtung der Vertrauensstellung abschließen können.
**So richten Sie Ihre eigene SAML 2.0-Anwendung ein**
1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).
1. Wählen Sie **Applications (Anwendungen)**.
1. Wählen Sie die Registerkarte **Vom Kunden verwaltet** aus.
1. Wählen Sie **Anwendung hinzufügen**.
1. Wählen Sie auf der Seite **Anwendungstyp auswählen** unter **Einrichtungspräferenz** die Option **Ich habe eine Anwendung, die ich einrichten möchte** aus.
1. Wählen Sie unter **Anwendungstyp** die Option **SAML 2.0** aus.
1. Wählen Sie **Weiter** aus.
1. Geben Sie auf der Seite **Anwendung konfigurieren** **unter Anwendung konfigurieren** einen **Anzeigenamen** für die Anwendung ein, z. B. **MyApp** Geben Sie dann eine **Beschreibung** ein.
1. Gehen Sie unter **IAM Identity Center-Metadaten** wie folgt vor:
1. Wählen Sie unter **IAM Identity Center SAML-Metadatendatei die Option **Herunterladen** aus, um die Metadaten** des Identitätsanbieters herunterzuladen.
1. Wählen Sie unter **IAM Identity Center-Zertifikat** die Option **Herunterladen** aus, um das Identitätsanbieter-Zertifikat herunterzuladen.
**Anmerkung**
Sie benötigen diese Dateien später, wenn Sie die benutzerdefinierte Anwendung über die Website des Service-Anbieters einrichten.
1. (Optional) Unter **Anwendungseigenschaften** können Sie auch die **Start-URL der Anwendung**, den **Relay-Status** und die **Sitzungsdauer** angeben. Weitere Informationen finden Sie unter [Machen Sie sich mit den Anwendungseigenschaften in der IAM Identity Center-Konsole vertraut](appproperties.md).
1. Wählen Sie unter **Anwendungsmetadaten** die Option **Manuelles Eingeben Ihrer Metadatenwerte** aus. Geben Sie dann die **ACS-URL der Anwendung** und die **Zielgruppenwerte für die SAML-Anwendung** ein.
1. Wählen Sie **Absenden** aus. Sie werden zur Detailseite der Anwendung weitergeleitet, die Sie gerade hinzugefügt haben.
# Überblick über die Verbreitung vertrauenswürdiger Identitäten
Die Weitergabe vertrauenswürdiger Identitäten ist eine Funktion von IAM Identity Center, mit der Administratoren Berechtigungen auf der Grundlage von AWS-Services Benutzerattributen wie Gruppenzuordnungen gewähren können. Bei der Weitergabe vertrauenswürdiger Identitäten wird einer IAM-Rolle ein Identitätskontext hinzugefügt, um den Benutzer zu identifizieren, der Zugriff AWS auf Ressourcen anfordert. Dieser Kontext wird an andere weitergegeben. AWS-Services
Der Identitätskontext umfasst Informationen, AWS-Services anhand derer Autorisierungsentscheidungen getroffen werden, wenn sie Zugriffsanfragen erhalten. Zu diesen Informationen gehören Metadaten, mit denen der Anforderer (z. B. ein IAM Identity Center-Benutzer), der AWS-Service Zugriff angefordert wird (z. B. Amazon Redshift) und der Zugriffsumfang (z. B. schreibgeschützter Zugriff) identifiziert werden. Der Empfänger AWS-Service verwendet diesen Kontext und alle dem Benutzer zugewiesenen Berechtigungen, um den Zugriff auf seine Ressourcen zu autorisieren.
## Vorteile der Verbreitung vertrauenswürdiger Identitäten
Die Weitergabe vertrauenswürdiger Identitäten ermöglicht es den Administratoren von AWS-Services , mithilfe der Unternehmensidentitäten Ihrer Belegschaft Berechtigungen für Ressourcen wie Daten zu erteilen. Darüber hinaus können sie anhand von Serviceprotokollen oder AWS CloudTrailüberprüfen, wer auf welche Daten zugegriffen hat. Wenn Sie ein IAM Identity Center-Administrator sind, werden Sie möglicherweise von anderen AWS-Service Administratoren aufgefordert, die Verbreitung vertrauenswürdiger Identitäten zu aktivieren.
## Die Verbreitung vertrauenswürdiger Identitäten aktivieren
Das Aktivieren der Verbreitung vertrauenswürdiger Identitäten umfasst die folgenden zwei Schritte:
1. **Aktivieren Sie IAM Identity Center und verbinden Sie Ihre bestehende Identitätsquelle mit IAM Identity Center. Sie verwalten die Identitäten** Ihrer Belegschaft weiterhin in Ihrer bestehenden Identitätsquelle. Wenn Sie sie mit IAM Identity Center verbinden, wird ein Verweis auf Ihre Belegschaft erstellt, den alle AWS-Services in Ihrem Anwendungsfall gemeinsam nutzen können. Es steht auch Datenbesitzern zur Verfügung, um sie in future Anwendungsfällen zu verwenden.
1. Stellen Sie ** AWS-Services in Ihrem Anwendungsfall Connect zu IAM Identity Center** her — Der Administrator jedes Anwendungsfalls AWS-Service im Trusted Identity Propagation-Anwendungsfall folgt den Anweisungen in der jeweiligen Servicedokumentation, um den Service mit dem IAM Identity Center zu verbinden.
**Anmerkung**
Wenn Ihr Anwendungsfall eine *von einem Drittanbieter oder von* einem *Kunden entwickelte Anwendung* umfasst, aktivieren Sie die Verbreitung vertrauenswürdiger Identitäten, indem Sie eine Vertrauensbeziehung zwischen dem Identitätsanbieter, der die Anwendungsbenutzer authentifiziert, und IAM Identity Center konfigurieren. Auf diese Weise kann Ihre Anwendung den zuvor beschriebenen Prozess zur Verbreitung vertrauenswürdiger Identitäten nutzen.
Weitere Informationen finden Sie unter [Verwenden Sie Anwendungen mit einem vertrauenswürdigen Token-Emittenten](using-apps-with-trusted-token-issuer.md).
## So funktioniert die Verbreitung vertrauenswürdiger Identitäten
Das folgende Diagramm zeigt den allgemeinen Arbeitsablauf für die Weitergabe vertrauenswürdiger Identitäten:
![\[Vereinfachter Arbeitsablauf für die Weitergabe vertrauenswürdiger Identitäten.\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/simplied-tip-1.png)
1. Benutzer authentifizieren sich mit einer clientseitigen Anwendung, beispielsweise Quick.
1. Die clientseitige Anwendung fordert Zugriff zur Verwendung und Abfrage von Daten AWS-Service an und enthält Informationen über den Benutzer.
**Anmerkung**
Einige Anwendungsfälle zur Verbreitung vertrauenswürdiger Identitäten beinhalten Tools, die AWS-Services mithilfe von Diensttreibern interagieren. Ob dies auf Ihren Anwendungsfall zutrifft, erfahren Sie in der [Anleitung zu Anwendungsfällen](trustedidentitypropagation-integrations.md).
1. Das AWS-Service verifiziert die Benutzeridentität mit IAM Identity Center und vergleicht die Benutzerattribute, wie ihre Gruppenzuordnungen, mit denen, die für den Zugriff erforderlich sind. Der AWS-Service autorisiert den Zugriff, solange der Benutzer oder seine Gruppe über die erforderlichen Berechtigungen verfügt.
1. AWS-Services kann die Benutzerkennung in AWS CloudTrail und in ihren Dienstprotokollen protokollieren. Einzelheiten finden Sie in der Servicedokumentation.
Die folgende Abbildung bietet einen Überblick über die zuvor beschriebenen Schritte im Workflow zur Verbreitung vertrauenswürdiger Identitäten:
![\[Vereinfachter Workflow zur Weitergabe vertrauenswürdiger Identitäten.\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/simplied-tip-2.png)
**Topics**
+ [Vorteile der Verbreitung vertrauenswürdiger Identitäten](#benefits-trusted-identity-propagation)
+ [Die Verbreitung vertrauenswürdiger Identitäten aktivieren](#enabling-tip)
+ [So funktioniert die Verbreitung vertrauenswürdiger Identitäten](#how-tip-works)
+ [Voraussetzungen und Überlegungen](trustedidentitypropagation-overall-prerequisites.md)
+ [Anwendungsfälle für die Verbreitung vertrauenswürdiger Identitäten](trustedidentitypropagation-integrations.md)
+ [Autorisierungsdienste](authorization-services.md)
# Voraussetzungen und Überlegungen
Bevor Sie die Verbreitung vertrauenswürdiger Identitäten einrichten, sollten Sie sich mit den folgenden Voraussetzungen und Überlegungen vertraut machen.
**Topics**
+ [Voraussetzungen](#trustedidentitypropagation-prerequisites)
+ [Überlegungen](#trustedidentitypropagation-considerations)
+ [Überlegungen zu vom Kunden verwalteten Anwendungen](#trustedidentitypropagation-customer-apps)
## Voraussetzungen
Um Trusted Identity Propagation zu verwenden, stellen Sie sicher, dass Ihre Umgebung die folgenden Voraussetzungen erfüllt:
+ IAM Identity Center aktivieren und bereitstellen
+ Um Trusted Identity Propagation zu verwenden, müssen Sie IAM Identity Center in derselben Umgebung aktivieren, in der auch AWS-Region die AWS Anwendungen und Dienste aktiviert sind, auf die Ihre Benutzer zugreifen werden. Weitere Informationen finden Sie unter [IAM Identity Center aktivieren](enable-identity-center.md).
+ Die IAM Identity Center-Organisationsinstanz wird empfohlen — Wir empfehlen Ihnen, eine [Organisationsinstanz](organization-instances-identity-center.md) von IAM Identity Center zu verwenden, die Sie im Verwaltungskonto von aktivieren. AWS Organizations Sie können die [Verwaltung einer Organisationsinstanz von IAM Identity Center an ein Mitgliedskonto delegieren](organization-instances-identity-center.md). Wenn Sie sich für eine [Kontoinstanz](account-instances-identity-center.md) von IAM Identity Center entscheiden, muss sich alles AWS-Services , worauf Benutzer mit Trusted Identity Propagation zugreifen können, in derselben AWS-Konto Instanz befinden, in der Sie IAM Identity Center aktivieren. Weitere Informationen finden Sie unter [Konto-Instances von IAM Identity Center.](account-instances-identity-center.md).
+ Connect Sie Ihren bestehenden Identitätsanbieter mit IAM Identity Center und stellen Sie Ihre Benutzer und Gruppen in IAM Identity Center bereit. Weitere Informationen finden Sie unter [Tutorials zu Identitätsquellen im IAM Identity Center](tutorials.md).
+ Connect die AWS verwalteten Anwendungen und Dienste in Ihrem Anwendungsfall zur Verbreitung vertrauenswürdiger Identitäten mit dem IAM Identity Center. Um Trusted Identity Propagation nutzen zu können, müssen AWS verwaltete Anwendungen mit IAM Identity Center verbunden sein.
## Überlegungen
Beachten Sie bei der Konfiguration und Verwendung von Trusted Identity Propagation die folgenden Überlegungen:
+ **Organisation und Kontoinstanz von IAM Identity Center**
+ Eine [Organisationsinstanz](organization-instances-identity-center.md) von IAM Identity Center bietet Ihnen die größtmögliche Kontrolle und Flexibilität, um Ihre Anwendungsfälle auf mehrere Benutzer und AWS-Konten auszuweiten. AWS-Services Wenn Sie keine Organisationsinstanz verwenden können, wird Ihr Anwendungsfall möglicherweise mit Kontoinstanzen von IAM Identity Center unterstützt. Weitere Informationen darüber, welche Kontoinstanzen von IAM Identity Center AWS-Services in Ihrem Anwendungsfall unterstützt werden, finden Sie unter. [AWS verwaltete Anwendungen, die Sie mit IAM Identity Center verwenden können](awsapps-that-work-with-identity-center.md)
+ **Berechtigungen für mehrere Konten (Berechtigungssätze) sind nicht erforderlich**
+ Für die Verbreitung vertrauenswürdiger Identitäten müssen Sie keine [Berechtigungen für mehrere Konten (Berechtigungssätze](manage-your-accounts.md)) einrichten. Sie können IAM Identity Center aktivieren und es nur für die Verbreitung vertrauenswürdiger Identitäten verwenden.
## Überlegungen zu vom Kunden verwalteten Anwendungen
Ihre Belegschaft kann von der Verbreitung vertrauenswürdiger Identitäten profitieren, auch wenn Ihre Benutzer beispielsweise mit kundenorientierten Anwendungen interagieren, die nicht von Ihnen verwaltet werden AWS, Tableau oder Ihren individuell entwickelten Anwendungen. Die Benutzer dieser Anwendungen werden möglicherweise nicht im IAM Identity Center bereitgestellt. Um eine reibungslose Erkennung und Autorisierung des Benutzerzugriffs auf AWS Ressourcen zu ermöglichen, können Sie mit IAM Identity Center eine vertrauenswürdige Beziehung zwischen dem Identitätsanbieter, der Ihre Benutzer authentifiziert, und IAM Identity Center einrichten. Weitere Informationen finden Sie unter [Verwenden Sie Anwendungen mit einem vertrauenswürdigen Token-Emittenten](using-apps-with-trusted-token-issuer.md).
Darüber hinaus erfordert die Konfiguration der Verbreitung vertrauenswürdiger Identitäten für Ihre Anwendung:
+ Ihre Anwendung muss das OAuth 2.0-Framework für die Authentifizierung verwenden. Die Verbreitung vertrauenswürdiger Identitäten unterstützt keine SAML 2.0-Integrationen.
+ Ihre Anwendung muss vom IAM Identity Center erkannt werden. Folgen Sie den Anweisungen, die für Ihren [Anwendungsfall](trustedidentitypropagation-integrations.md) spezifisch sind.
# Anwendungsfälle für die Verbreitung vertrauenswürdiger Identitäten
Als IAM Identity Center-Administrator werden Sie möglicherweise gebeten, bei der Konfiguration der Weitergabe vertrauenswürdiger Identitäten von benutzerseitigen Anwendungen an zu helfen. AWS-Services Um diese Anfrage zu unterstützen, benötigen Sie die folgenden Informationen:
+ Mit welcher kundenorientierten Anwendung werden Ihre Benutzer interagieren?
+ Welche AWS-Services werden verwendet, um die Daten abzufragen und den Zugriff auf die Daten zu autorisieren?
+ Was AWS-Service autorisiert den Zugriff auf die Daten?
Ihre Rolle bei der Aktivierung von **Anwendungsfällen zur Verbreitung vertrauenswürdiger Identitäten, bei denen keine Drittanbieteranwendungen oder speziell entwickelte Anwendungen involviert** sind, besteht darin,
1. [Aktivieren Sie IAM Identity Center](enable-identity-center.md).
1. [Connect Sie Ihre bestehende Identitätsquelle mit dem IAM Identity Center](tutorials.md).
Die verbleibenden Schritte der Konfiguration vertrauenswürdiger Identitäten für diese Anwendungsfälle werden innerhalb der verbundenen Anwendungen AWS-Services und Anwendungen ausgeführt. Die Administratoren der verbundenen Anwendungen AWS-Services oder Anwendungen sollten in den jeweiligen Benutzerhandbüchern nach umfassenden dienstspezifischen Anleitungen suchen.
Ihre Rolle bei der Aktivierung von **Anwendungsfällen zur Verbreitung vertrauenswürdiger Identitäten, an denen Drittanbieteranwendungen oder speziell entwickelte Anwendungen beteiligt** sind, umfasst die Schritte [zum Herstellen [IAM Identity Center aktivieren](enable-identity-center.md) und Verbinden Ihrer Identitätsquelle](tutorials.md) sowie:
1. Konfiguration der Verbindung Ihres Identitätsanbieters (IdP) mit dem Drittanbieter oder der individuell entwickelten Anwendung.
1. Aktivierung der Erkennung der Drittanbieteranwendung oder der kundenspezifisch entwickelten Anwendung durch IAM Identity Center
1. Konfiguration Ihres IdP als vertrauenswürdigen Token-Aussteller im IAM Identity Center. Weitere Informationen finden Sie unter [Verwenden Sie Anwendungen mit einem vertrauenswürdigen Token-Emittenten](using-apps-with-trusted-token-issuer.md).
Die Administratoren der verbundenen Anwendungen AWS-Services sollten sich an die jeweiligen Benutzerhandbücher halten, um umfassende dienstspezifische Anleitungen zu erhalten.
## Anwendungsfälle für Analytik, Data Lakehouse und maschinelles Lernen
Sie können Trusted Propagation-Anwendungsfälle mit den folgenden Analyse- und Machine-Learning-Diensten aktivieren:
+ **Amazon Redshift** — Anleitungen finden Sie unter[Vertrauenswürdige Identitätsverbreitung mit Amazon Redshift](tip-usecase-redshift.md).
+ **Amazon EMR** — Anleitungen finden Sie unter[Vertrauenswürdige Identitätsverbreitung mit Amazon EMR](tip-usecase-emr.md).
+ **Amazon Athena** — Anleitungen finden Sie unter[Vertrauenswürdige Identitätsverbreitung mit Amazon Athena](tip-usecase-ate.md).
+ **SageMaker Studio** — Anleitungen finden Sie unter[Vertrauenswürdige Identitätsverbreitung mit Amazon SageMaker Studio](trusted-identity-propagation-usecase-sagemaker-studio.md).
## Zusätzliche Anwendungsfälle
Sie können IAM Identity Center und die Verbreitung vertrauenswürdiger Identitäten mit folgenden zusätzlichen AWS-Services Optionen aktivieren:
+ **Amazon Q Business** — Anleitungen finden Sie unter:
+ [Administrator-Workflow für Apps, die IAM Identity Center verwenden](https://docs.aws.amazon.com//amazonq/latest/qbusiness-ug/how-it-works.html#admin-flow-idc).
+ [Konfiguration einer Amazon Q Business-Anwendung mithilfe von IAM Identity Center](https://docs.aws.amazon.com//amazonq/latest/qbusiness-ug/create-application.html).
+ [Konfigurieren Sie Amazon Q Business mit IAM Identity Center Trusted Identity Propagation](https://aws.amazon.com/blogs//machine-learning/configuring-amazon-q-business-with-aws-iam-identity-center-trusted-identity-propagation/).
+ **Amazon OpenSearch Service** — Anleitungen finden Sie unter:
+ [Support für vertrauenswürdige Identitätsverbreitung durch IAM Identity Center für Amazon OpenSearch Service](https://docs.aws.amazon.com//opensearch-service/latest/developerguide/idc-aos.html).
+ [Zentralisierte OpenSearch Benutzeroberfläche (Dashboards) mit Amazon OpenSearch Service](https://docs.aws.amazon.com//opensearch-service/latest/developerguide/application.html).
+ **AWS Transfer Family**- Anleitungen finden Sie unter:
+ [Transfer Family Familien-Web-Apps](https://docs.aws.amazon.com//transfer/latest/userguide/web-app.html).
**Topics**
+ [Anwendungsfälle für Analytik, Data Lakehouse und maschinelles Lernen](#tip-data-analytic-usecases-overview)
+ [Zusätzliche Anwendungsfälle](#tip-additional-usecases)
+ [Vertrauenswürdige Identitätsverbreitung mit Amazon Redshift](tip-usecase-redshift.md)
+ [Vertrauenswürdige Identitätsverbreitung mit Amazon EMR](tip-usecase-emr.md)
+ [Vertrauenswürdige Identitätsverbreitung mit Amazon Athena](tip-usecase-ate.md)
+ [Vertrauenswürdige Identitätsverbreitung mit Amazon SageMaker Studio](trusted-identity-propagation-usecase-sagemaker-studio.md)
# Vertrauenswürdige Identitätsverbreitung mit Amazon Redshift
Die Schritte zur Aktivierung der Verbreitung vertrauenswürdiger Identitäten hängen davon ab, ob Ihre Benutzer mit AWS verwalteten Anwendungen oder mit kundenverwalteten Anwendungen interagieren. Das folgende Diagramm zeigt eine Konfiguration zur Weitergabe vertrauenswürdiger Identitäten für clientseitige Anwendungen — entweder AWS verwaltet oder extern AWS —, die Amazon Redshift-Daten mit Zugriffskontrolle abfragen, die entweder von Amazon Redshift oder von Autorisierungsdiensten wie AWS Lake Formation Amazon S3 bereitgestellt wird. Access Grants
![\[Diagramm der Verbreitung vertrauenswürdiger Identitäten mit Amazon Redshift, Quick, Lake Formation und IAM Identity Center\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/rs-tip-diagram.png)
Wenn die Weitergabe vertrauenswürdiger Identitäten an Amazon Redshift aktiviert ist, können Redshift-Administratoren Redshift so konfigurieren, dass [automatisch Rollen für IAM Identity Center als Identitätsanbieter erstellt](https://docs.aws.amazon.com//redshift/latest/mgmt/redshift-iam-access-control-sso-autocreate.html), Redshift-Rollen Gruppen in IAM Identity Center zugeordnet werden und die rollenbasierte Zugriffskontrolle von [Redshift](https://docs.aws.amazon.com//redshift/latest/dg/r_tutorial-RBAC.html) verwendet wird, um Zugriff zu gewähren.
## Unterstützte Anwendungen mit Kundenkontakt
**AWS verwaltete Anwendungen**
Die folgenden AWS verwalteten clientseitigen Anwendungen unterstützen die Weitergabe vertrauenswürdiger Identitäten an Amazon Redshift:
+ [Amazon Redshift Query Editor V2](setting-up-tip-redshift.md)
+ [Schnell](https://docs.aws.amazon.com//quicksight/latest/user/redshift-trusted-identity-propagation.html)
**Anmerkung**
Wenn Sie Amazon Redshift Spectrum für den Zugriff auf externe Datenbanken oder Tabellen verwenden AWS Glue Data Catalog, sollten Sie die Einrichtung von [Lake Formation](tip-tutorial-lf.md) und [Amazon S3](tip-tutorial-s3.md) in Betracht ziehen, Access Grants um eine detaillierte Zugriffskontrolle zu ermöglichen.
**Vom Kunden verwaltete Anwendungen**
Die folgenden vom Kunden verwalteten Anwendungen unterstützen die Weitergabe vertrauenswürdiger Identitäten an Amazon Redshift:
+ **Tableau**einschließlich Tableau Desktop TableauServer, und Tableau Prep
+ Informationen zur Aktivierung der Verbreitung vertrauenswürdiger Identitäten für Benutzer von Tableau finden Sie unter [Integrieren Tableau und Okta mit Amazon Redshift using IAM Identity Center](https://aws.amazon.com/blogs//big-data/integrate-tableau-and-okta-with-amazon-redshift-using-aws-iam-identity-center/) im *AWS Big Data-Blog*.
+ **SQL-Clients** (DBeaverund) DBVisualizer
+ *Informationen zur Aktivierung der Verbreitung vertrauenswürdiger Identitäten für Benutzer von SQL Clients (DBeaverundDBVisualizer) finden Sie unter [Integrate Identity Provider (IdP) with Amazon Redshift Query Editor V2 und SQL Client using IAM Identity Center for seamless Single Sign-On](https://aws.amazon.com/blogs//big-data/integrate-identity-provider-idp-with-amazon-redshift-query-editor-v2-and-sql-client-using-aws-iam-identity-center-for-seamless-single-sign-on/) im AWS Big Data-Blog.*
# Einrichtung der Verbreitung vertrauenswürdiger Identitäten mit Amazon Redshift Query Editor V2
Das folgende Verfahren führt Sie Schritt für Schritt durch, wie Sie eine vertrauenswürdige Identitätsweitergabe von Amazon Redshift Query Editor V2 zu Amazon Redshift erreichen.
## Voraussetzungen
Bevor Sie mit diesem Tutorial beginnen können, müssen Sie Folgendes einrichten:
1. [Aktivieren Sie IAM Identity Center](enable-identity-center.md). [Eine Organisationsinstanz](organization-instances-identity-center.md) wird empfohlen. Weitere Informationen finden Sie unter [Voraussetzungen und Überlegungen](trustedidentitypropagation-overall-prerequisites.md).
1. [Stellen Sie die Benutzer und Gruppen aus Ihrer Identitätsquelle im IAM Identity](tutorials.md) Center bereit.
Die Aktivierung der Verbreitung vertrauenswürdiger Identitäten umfasst Aufgaben, die von einem IAM Identity Center-Administrator in der IAM Identity Center-Konsole ausgeführt werden, und Aufgaben, die von einem Amazon Redshift Redshift-Administrator in der Amazon Redshift Redshift-Konsole ausgeführt werden.
## Vom IAM Identity Center-Administrator ausgeführte Aufgaben
Die folgenden Aufgaben mussten vom IAM Identity Center-Administrator erledigt werden:
1. **Erstellen Sie eine [IAM-Rolle](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles.html)** in dem Konto, in dem der Amazon Redshift Redshift-Cluster oder die Serverless-Instance vorhanden ist, mit der folgenden Berechtigungsrichtlinie. Weitere Informationen finden Sie unter [IAM-Rollenerstellung](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html).
1. Die folgenden Richtlinienbeispiele enthalten die erforderlichen Berechtigungen, um dieses Tutorial abzuschließen. Um diese Richtlinie zu verwenden, ersetzen Sie die Richtlinie *italicized placeholder text* im Beispiel durch Ihre eigenen Informationen. Weitere Anweisungen finden Sie unter [Richtlinie erstellen](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html) oder [Richtlinie bearbeiten](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html).
**Genehmigungsrichtlinie:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowRedshiftApplication",
"Effect": "Allow",
"Action": [
"redshift:DescribeQev2IdcApplications",
"redshift-serverless:ListNamespaces",
"redshift-serverless:ListWorkgroups",
"redshift-serverless:GetWorkgroup"
],
"Resource": "*"
},
{
"Sid": "AllowIDCPermissions",
"Effect": "Allow",
"Action": [
"sso:DescribeApplication",
"sso:DescribeInstance"
],
"Resource": [
"arn:aws:sso:::instance/Your-IAM-Identity-Center-Instance ID",
"arn:aws:sso::111122223333:application/Your-IAM-Identity-Center-Instance-ID/*"
]
}
]
}
```
------
**Vertrauensrichtlinie:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"redshift-serverless.amazonaws.com",
"redshift.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
------
1. **Erstellen Sie einen Berechtigungssatz** in dem AWS Organizations Verwaltungskonto, in dem IAM Identity Center aktiviert ist. Sie werden es im nächsten Schritt verwenden, um Verbundbenutzern den Zugriff auf Redshift Query Editor V2 zu ermöglichen.
1. **Gehen Sie zur **IAM Identity Center-Konsole** und wählen Sie unter **Berechtigungen für mehrere Konten** die Option Berechtigungssätze aus.**
1. Wählen Sie **Create permission set (Berechtigungssatz erstellen)** aus.
1. **Wählen Sie **Benutzerdefinierter Berechtigungssatz** und dann Weiter.**
1. Wählen Sie unter **AWS Verwaltete Richtlinien die** Option aus **`AmazonRedshiftQueryEditorV2ReadSharing`**.
1. Fügen Sie unter **Inline-Richtlinie** die folgende Richtlinie hinzu:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"redshift:DescribeQev2IdcApplications",
"redshift-serverless:ListNamespaces",
"redshift-serverless:ListWorkgroups",
"redshift-serverless:GetWorkgroup"
],
"Resource": "*"
}
]
}
```
------
1. Wählen Sie **Weiter** aus und geben Sie dann einen Namen für den Namen des Berechtigungssatzes ein. Beispiel, **Redshift-Query-Editor-V2**.
1. Legen Sie unter **Relaystatus — optional** den Standard-Relaystatus auf die URL des Query-Editors V2 fest und verwenden Sie dabei das folgende Format:`https://your-region.console.aws.amazon.com/sqlworkbench/home`.
1. Überprüfen Sie die Einstellungen und wählen Sie **Erstellen** aus.
1. Navigieren Sie zum IAM Identity Center Dashboard und kopieren Sie die URL des AWS Zugriffsportals aus dem Abschnitt „**Zusammenfassung der Einstellungen**“.
![\[Schritt i: Kopieren Sie die URL des AWS Zugriffsportals aus der IAM Identity Center-Konsole.\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/setting-up-redshift-step-i.png)
1. Öffnen Sie ein neues Inkognito-Browserfenster und fügen Sie die URL ein.
Dadurch gelangen Sie zu Ihrem AWS Zugriffsportal und stellen sicher, dass Sie sich mit einem IAM Identity Center-Benutzer anmelden.
![\[Schritt j, Melden Sie sich beim AWS Zugangsportal an.\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/setting-up-redshift-step-j.png)
Weitere Informationen zum Berechtigungssatz finden Sie unter[AWS-Konten Mit Berechtigungssätzen verwalten](permissionsetsconcept.md).
1. **Ermöglichen Sie Verbundbenutzern den Zugriff auf Redshift Query Editor V2**.
1. Öffnen Sie im AWS Organizations Verwaltungskonto die **IAM Identity** Center-Konsole.
1. Wählen Sie im Navigationsbereich unter **Berechtigungen für mehrere Konten** die Option. **AWS-Konten**
1. Wählen Sie auf der AWS-Konten Seite die aus AWS-Konto , der Sie Zugriff zuweisen möchten.
1. Wählen Sie **Benutzer oder Gruppen zuweisen** aus.
1. Wählen Sie auf der Seite **Benutzer und Gruppen zuweisen** die Benutzer und/oder Gruppen aus, für die Sie den Berechtigungssatz erstellen möchten. Wählen Sie anschließend **Weiter**.
1. Wählen Sie auf der Seite „**Berechtigungssätze zuweisen**“ den Berechtigungssatz aus, den Sie im vorherigen Schritt erstellt haben. Wählen Sie anschließend **Weiter**.
1. Überprüfen Sie auf der Seite **Aufgaben überprüfen und einreichen** Ihre Auswahl und wählen Sie **Absenden**.
## Von einem Amazon Redshift Redshift-Administrator ausgeführte Aufgaben
Um die Weitergabe vertrauenswürdiger Identitäten an Amazon Redshift zu aktivieren, muss ein Amazon Redshift-Clusteradministrator oder Amazon Redshift Serverless-Administrator eine Reihe von Aufgaben in der Amazon Redshift Redshift-Konsole ausführen. *Weitere Informationen finden Sie im Big Data-Blog unter [Integrieren von Identity Provider (IdP) in Amazon Redshift Query Editor V2 und SQL Client using IAM Identity Center for Seamless Single Sign-On](https://aws.amazon.com/blogs//big-data/integrate-identity-provider-idp-with-amazon-redshift-query-editor-v2-and-sql-client-using-aws-iam-identity-center-for-seamless-single-sign-on/).AWS *
# Vertrauenswürdige Identitätsverbreitung mit Amazon EMR
Das folgende Diagramm zeigt eine Konfiguration zur Weitergabe vertrauenswürdiger Identitäten für Amazon EMR Studio unter Verwendung von Amazon EMR auf Amazon EC2 mit Zugriffskontrolle durch AWS Lake Formation und Amazon S3. Access Grants
![\[Diagramm der Verbreitung vertrauenswürdiger Identitäten mithilfe von Amazon EMR, Lake Formation und IAM Identity Center\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/emr-tip-diagram.png)
**Unterstützte Anwendungen mit Kundenkontakt**
+ Amazon EMR Studio
**Gehen Sie wie folgt vor, um die Verbreitung vertrauenswürdiger Identitäten zu aktivieren:**
+ [Richten Sie Amazon EMR Studio](setting-up-tip-emr.md) als clientseitige Anwendung für den Amazon EMR-Cluster ein.
+ Richten Sie [Amazon EMR Cluster auf Amazon EC2](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-idc-start.html) mit ein. Apache Spark
+ *Empfohlen*: [AWS Lake Formation](tip-tutorial-lf.md)und [Amazon S3 Access Grants](tip-tutorial-s3.md), um eine differenzierte Zugriffskontrolle auf AWS Glue Data Catalog und die zugrunde liegenden Datenspeicherorte in S3 zu ermöglichen.
# Einrichtung der Verbreitung vertrauenswürdiger Identitäten mit Amazon EMR Studio
Das folgende Verfahren führt Sie durch die Einrichtung von Amazon EMR Studio für die Weitergabe vertrauenswürdiger Identitäten in Abfragen gegen laufende Amazon Athena Athena-Arbeitsgruppen oder Amazon EMR-Cluster. Apache Spark
## Voraussetzungen
Bevor Sie mit diesem Tutorial beginnen können, müssen Sie Folgendes einrichten:
1. [Aktivieren Sie IAM Identity Center](enable-identity-center.md). [Eine Organisationsinstanz](organization-instances-identity-center.md) wird empfohlen. Weitere Informationen finden Sie unter [Voraussetzungen und Überlegungen](trustedidentitypropagation-overall-prerequisites.md).
1. [Stellen Sie die Benutzer und Gruppen aus Ihrer Identitätsquelle im IAM Identity](tutorials.md) Center bereit.
Um die Einrichtung der vertrauenswürdigen Identitätsverbreitung von Amazon EMR Studio abzuschließen, muss der EMR Studio-Administrator die folgenden Schritte ausführen.
## Schritt 1. Erstellen Sie die erforderlichen IAM-Rollen für EMR Studio
In diesem Schritt erstellt der Amazon Studio EMR-Administrator eine IAM-Servicerolle und eine IAM-Benutzerrolle für EMR. Studio
1. **[Eine EMR Studio-Servicerolle erstellen](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-service-role.html)** — EMR Studio übernimmt diese IAM-Rolle, um Workspaces und Notebooks sicher zu verwalten, Verbindungen zu Clustern herzustellen und Dateninteraktionen abzuwickeln.
1. Navigieren Sie zur IAM-Konsole ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) und erstellen Sie eine IAM-Rolle.
1. Wählen Sie **AWS-Service**als vertrauenswürdige Entität und dann **Amazon EMR** aus. Fügen Sie die folgenden Richtlinien hinzu, um die Berechtigungen und das Vertrauensverhältnis der Rolle zu definieren.
Um diese Richtlinie zu verwenden, ersetzen Sie die Richtlinie *italicized placeholder text* im Beispiel durch Ihre eigenen Informationen. Weitere Anweisungen finden Sie unter [Richtlinie erstellen](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html) oder [Richtlinie bearbeiten](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ObjectActions",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::Your-S3-Bucket-For-EMR-Studio/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "Your-AWS-Account-ID"
}
}
},
{
"Sid": "BucketActions",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetEncryptionConfiguration"
],
"Resource": [
"arn:aws:s3:::Your-S3-Bucket-For-EMR-Studio"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "Your-AWS-Account-ID"
}
}
}
]
}
```
------
Eine Referenz aller Servicerollenberechtigungen finden Sie unter [EMR Studio-Servicerollenberechtigungen](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-studio-service-role.html#emr-studio-service-role-permissions-table).
1. **[Eine EMR Studio-Benutzerrolle für die IAM Identity Center-Authentifizierung erstellen](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-user-permissions.html#emr-studio-create-user-role)** — EMR Studio übernimmt diese Rolle, wenn sich ein Benutzer über IAM Identity Center anmeldet, um Workspaces, EMR-Cluster, Jobs und Git-Repositorys zu verwalten. **Diese Rolle wird verwendet, um den Workflow zur Verbreitung vertrauenswürdiger Identitäten zu initiieren**.
**Anmerkung**
Die EMR Studio-Benutzerrolle muss keine Berechtigungen für den Zugriff auf die Amazon S3 S3-Speicherorte der Tabellen im AWS Glue Katalog enthalten. AWS Lake Formation Berechtigungen und registrierte Standorte an Seen werden verwendet, um temporäre Berechtigungen zu erhalten.
Die folgende Beispielrichtlinie kann in einer Rolle verwendet werden, die es einem Benutzer von EMR Studio ermöglicht, Athena-Arbeitsgruppen zum Ausführen von Abfragen zu verwenden.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDefaultEC2SecurityGroupsCreationInVPCWithEMRTags",
"Effect": "Allow",
"Action": [
"ec2:CreateSecurityGroup"
],
"Resource": [
"arn:aws:ec2:*:*:vpc/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowAddingEMRTagsDuringDefaultSecurityGroupCreation",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:*:*:security-group/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true",
"ec2:CreateAction": "CreateSecurityGroup"
}
}
},
{
"Sid": "AllowSecretManagerListSecrets",
"Action": [
"secretsmanager:ListSecrets"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Sid": "AllowSecretCreationWithEMRTagsAndEMRStudioPrefix",
"Effect": "Allow",
"Action": "secretsmanager:CreateSecret",
"Resource": "arn:aws:secretsmanager:*:*:secret:emr-studio-*",
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowAddingTagsOnSecretsWithEMRStudioPrefix",
"Effect": "Allow",
"Action": "secretsmanager:TagResource",
"Resource": "arn:aws:secretsmanager:*:*:secret:emr-studio-*"
},
{
"Sid": "AllowPassingServiceRoleForWorkspaceCreation",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::111122223333:role/service-role/AmazonEMRStudio_ServiceRole_Name"
],
"Effect": "Allow"
},
{
"Sid": "AllowS3ListAndLocationPermissions",
"Action": [
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:::*",
"Effect": "Allow"
},
{
"Sid": "AllowS3ReadOnlyAccessToLogs",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::aws-logs-Your-AWS-Account-ID-Region/elasticmapreduce/*"
],
"Effect": "Allow"
},
{
"Sid": "AllowAthenaQueryExecutions",
"Effect": "Allow",
"Action": [
"athena:StartQueryExecution",
"athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:StopQueryExecution",
"athena:ListQueryExecutions",
"athena:GetQueryResultsStream",
"athena:ListWorkGroups",
"athena:GetWorkGroup",
"athena:CreatePreparedStatement",
"athena:GetPreparedStatement",
"athena:DeletePreparedStatement"
],
"Resource": "*"
},
{
"Sid": "AllowGlueSchemaManipulations",
"Effect": "Allow",
"Action": [
"glue:GetDatabase",
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables",
"glue:GetPartition",
"glue:GetPartitions"
],
"Resource": "*"
},
{
"Sid": "AllowQueryEditorToAccessWorkGroup",
"Effect": "Allow",
"Action": "athena:GetWorkGroup",
"Resource": "arn:aws:athena:*:111122223333:workgroup*"
},
{
"Sid": "AllowConfigurationForWorkspaceCollaboration",
"Action": [
"elasticmapreduce:UpdateEditor",
"elasticmapreduce:PutWorkspaceAccess",
"elasticmapreduce:DeleteWorkspaceAccess",
"elasticmapreduce:ListWorkspaceAccessIdentities"
],
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"elasticmapreduce:ResourceTag/creatorUserId": "${aws:userId}"
}
}
},
{
"Sid": "DescribeNetwork",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
},
{
"Sid": "ListIAMRoles",
"Effect": "Allow",
"Action": [
"iam:ListRoles"
],
"Resource": "*"
},
{
"Sid": "AssumeRole",
"Effect": "Allow",
"Action": [
"sts:AssumeRole"
],
"Resource": "*"
}
]
}
```
------
Die folgende Vertrauensrichtlinie ermöglicht es EMR Studio, die Rolle zu übernehmen:
**Anmerkung**
Für die Nutzung von EMR Studio Workspaces und EMR Notebooks sind zusätzliche Berechtigungen erforderlich. Weitere Informationen finden [Sie unter Erstellen von Berechtigungsrichtlinien für EMR Studio-Benutzer](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-user-permissions.html#emr-studio-permissions-policies).
**Weitere Informationen finden Sie unter den folgenden Links:**
+ [Benutzerdefinierte IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien definieren](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html)
+ [Berechtigungen für EMR Studio-Dienstrollen](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-service-role.html#emr-studio-service-role-permissions-table)
## Schritt 2. Erstellen und konfigurieren Sie Ihr EMR Studio
In diesem Schritt erstellen Sie ein Amazon EMR Studio in der EMR Studio-Konsole und verwenden die IAM-Rollen, in denen Sie es erstellt haben. [Schritt 1. Erstellen Sie die erforderlichen IAM-Rollen für EMR StudioSchritt 2. Erstellen und konfigurieren Sie Ihr EMR Studio](#setting-up-tip-emr-step1)
1. Navigieren Sie zur EMR Studio-Konsole, wählen Sie **Create Studio** und die Option **Custom Setup** aus. Sie können entweder einen neuen S3-Bucket erstellen oder einen vorhandenen Bucket verwenden. Sie können das Kästchen zum **Verschlüsseln von Workspace-Dateien mit Ihren eigenen KMS-Schlüsseln** aktivieren. Weitere Informationen finden Sie unter [AWS Key Management Service](https://docs.aws.amazon.com//kms/latest/developerguide/overview.html).
![\[Schritt 1 Erstellen Sie EMR Studio in der EMR-Konsole.\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/emr-tutorial-step-3.1.png)
1. Wählen Sie unter **Servicerolle, damit Studio auf Ihre Ressourcen zugreifen** kann, die in erstellte Servicerolle [Schritt 1. Erstellen Sie die erforderlichen IAM-Rollen für EMR StudioSchritt 2. Erstellen und konfigurieren Sie Ihr EMR Studio](#setting-up-tip-emr-step1) aus dem Menü aus.
1. Wählen Sie unter **Authentifizierung** die Option **IAM Identity Center** aus. Wählen Sie die Benutzerrolle aus, die in [Schritt 1. Erstellen Sie die erforderlichen IAM-Rollen für EMR StudioSchritt 2. Erstellen und konfigurieren Sie Ihr EMR Studio](#setting-up-tip-emr-step1) erstellt wurde.
![\[Schritt 3 Erstellen Sie EMR Studio in der EMR-Konsole und wählen Sie IAM Identity Center als Authentifizierungsmethode aus.\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/emr-tutorial-step-3.3.png)
1. Markieren Sie das Kästchen **Vertrauenswürdige Identitätsverbreitung**. Wählen Sie im Abschnitt Anwendungszugriff die Option **Nur zugewiesene Benutzer und Gruppen** aus, sodass Sie nur autorisierten Benutzern und Gruppen Zugriff auf dieses Studio gewähren können.
1. *(Optional)* — Sie können VPC und Subnetz konfigurieren, wenn Sie dieses Studio mit EMR-Clustern verwenden.
![\[Schritt 4 Erstellen Sie EMR Studio in der EMR-Konsole und wählen Sie Netzwerk- und Sicherheitseinstellungen aus.\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/emr-tutorial-step-3.4.png)
1. Überprüfen Sie alle Details und wählen Sie **Create** Studio aus.
1. Melden Sie sich nach der Konfiguration eines Athena WorkGroup - oder EMR-Clusters mit der Studio-URL an, um:
1. Führen Sie Athena-Abfragen mit dem Abfrage-Editor aus.
1. Führen Sie Spark-Jobs im Workspace mithilfe von Jupyter Notebook aus.
# Vertrauenswürdige Identitätsverbreitung mit Amazon Athena
Die Schritte zur Aktivierung der Verbreitung vertrauenswürdiger Identitäten hängen davon ab, ob Ihre Benutzer mit AWS verwalteten Anwendungen oder mit kundenverwalteten Anwendungen interagieren. Das folgende Diagramm zeigt eine Konfiguration zur Weitergabe vertrauenswürdiger Identitäten für clientseitige Anwendungen — entweder AWS verwaltet oder extern AWS —, die Amazon Athena verwenden, um Amazon S3-Daten mit der von Amazon S3 bereitgestellten AWS Lake Formation Zugriffskontrolle abzufragen. Access Grants
**Anmerkung**
Die Verbreitung vertrauenswürdiger Identitäten mit Amazon Athena erfordert die Verwendung von Trino.
Apache Spark- und SQL-Clients, die über ODBC- und JDBC-Treiber mit Amazon Athena verbunden sind, werden nicht unterstützt.
![\[Diagramm der Verbreitung vertrauenswürdiger Identitäten mit Athena, Amazon EMR, Lake Formation und IAM Identity Center\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/ate-tip-diagram.png)
**AWS verwaltete Anwendungen**
Die folgende AWS verwaltete, clientseitige Anwendung unterstützt die Verbreitung vertrauenswürdiger Identitäten mit Athena:
+ Amazon EMR Studio
**Gehen Sie wie folgt vor, um die Verbreitung vertrauenswürdiger Identitäten zu aktivieren:**
+ [Richten Sie Amazon EMR Studio](setting-up-tip-emr.md) als clientseitige Anwendung für Athena ein. Der Abfrage-Editor in EMR Studio wird benötigt, um Athena-Abfragen auszuführen, wenn die Weitergabe vertrauenswürdiger Identitäten aktiviert ist.
+ [Richten Sie die Athena Workgroup](setting-up-tip-ate.md) ein.
+ [Richten Sie AWS Lake Formation](tip-tutorial-lf.md) es so ein, dass eine differenzierte Zugriffskontrolle für AWS Glue Tabellen auf der Grundlage des Benutzers oder der Gruppe in IAM Identity Center ermöglicht wird.
+ [Richten Sie Amazon S3](tip-tutorial-s3.md) einAccess Grants, um den temporären Zugriff auf die zugrunde liegenden Datenspeicherorte in S3 zu ermöglichen.
**Anmerkung**
Sowohl Lake Formation als auch Amazon S3 Access Grants sind für die Zugriffskontrolle auf AWS Glue Data Catalog und für Athena-Abfrageergebnisse in Amazon S3 erforderlich.
**Vom Kunden verwaltete Anwendungen**
*Informationen zur Aktivierung der Verbreitung vertrauenswürdiger Identitäten für Benutzer von *kundenspezifisch entwickelten Anwendungen* finden Sie unter [AWS-Services Programmgesteuerter Zugriff mithilfe vertrauenswürdiger Identitätsverbreitung](https://aws.amazon.com/blogs//security/access-aws-services-programmatically-using-trusted-identity-propagation/) im AWS Sicherheitsblog.*
# Einrichtung der Verbreitung vertrauenswürdiger Identitäten mit Amazon Athena Athena-Arbeitsgruppen
Das folgende Verfahren führt Sie durch die Einrichtung von Amazon Athena Athena-Arbeitsgruppen für die Verbreitung vertrauenswürdiger Identitäten.
## Voraussetzungen
Bevor Sie mit diesem Tutorial beginnen können, müssen Sie Folgendes einrichten:
1. [Aktivieren Sie IAM Identity Center](enable-identity-center.md). [Eine Organisationsinstanz](organization-instances-identity-center.md) wird empfohlen. Weitere Informationen finden Sie unter [Voraussetzungen und Überlegungen](trustedidentitypropagation-overall-prerequisites.md).
1. [Stellen Sie die Benutzer und Gruppen aus Ihrer Identitätsquelle im IAM Identity](tutorials.md) Center bereit.
1. Für diese Konfiguration sind [Amazon EMR Studio](setting-up-tip-emr.md) und [Amazon S3 Access Grants](tip-tutorial-s3.md) erforderlich. [AWS Lake Formation](tip-tutorial-lf.md)
## Vertrauenswürdige Identitätsverbreitung mit Athena einrichten
Um die Verbreitung vertrauenswürdiger Identitäten mit Athena einzurichten, muss der Athena-Administrator:
1. Lesen Sie [Überlegungen und Einschränkungen bei der Verwendung von IAM Identity Center-fähigen Athena-Arbeitsgruppen](https://docs.aws.amazon.com//athena/latest/ug/workgroups-identity-center.html#workgroups-identity-center-considerations-and-limitations).
1. [Erstellen Sie eine IAM Identity Center-fähige Athena-Arbeitsgruppe](https://docs.aws.amazon.com//athena/latest/ug/workgroups-identity-center.html#workgroups-identity-center-creating-an-identity-center-enabled-athena-workgroup).
# Vertrauenswürdige Identitätsverbreitung mit Amazon SageMaker Studio
[Amazon SageMaker Studio](https://docs.aws.amazon.com//sagemaker/latest/dg/studio-updated.html) ist in IAM Identity Center integriert und unterstützt [Benutzersitzungen im Hintergrund](user-background-sessions.md) und die Weitergabe vertrauenswürdiger Identitäten. Benutzerhintergrundsitzungen ermöglichen es einem Benutzer, einen Job mit langer Laufzeit in SageMaker Studio zu initiieren, ohne dass dieser Benutzer angemeldet bleiben muss, während der Job ausgeführt wird. Der Job wird sofort und im Hintergrund ausgeführt, wobei die Berechtigungen des Benutzers verwendet werden, der den Job initiiert hat. Der Job kann auch dann weiter ausgeführt werden, wenn der Benutzer seinen Computer ausschaltet, seine IAM Identity Center-Anmeldesitzung abläuft oder sich der Benutzer vom AWS Access Portal abmeldet. Die Standardsitzungsdauer für Benutzerhintergrundsitzungen beträgt 7 Tage, Sie können jedoch eine maximale Dauer von 90 Tagen angeben. Die Weitergabe vertrauenswürdiger Identitäten ermöglicht einen differenzierten Zugriff auf AWS Ressourcen wie Amazon S3 S3-Buckets auf der Grundlage der Identität oder Gruppenmitgliedschaft des Benutzers.
Das folgende Diagramm zeigt eine Konfiguration zur Weitergabe vertrauenswürdiger Identitäten für SageMaker Studio mit Zugriff auf Daten, die in einem Amazon S3 S3-Bucket gespeichert sind. Benutzerhintergrundsitzungen sind für IAM Identity Center aktiviert, sodass der SageMaker Studio-Trainingsjob im Hintergrund ausgeführt werden kann. Die Zugriffskontrolle für die Trainingsdaten wird von Amazon S3 bereitgestelltAccess Grants.
![\[Diagramm der Verbreitung vertrauenswürdiger Identitäten für SageMaker Studio mit einem SageMaker Studio-Trainingsjob, der in einer Benutzerhintergrundsitzung ausgeführt wird, und Zugriff auf die von Amazon S3 bereitgestellten Trainingsdaten in Amazon S3Access Grants.\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/sagemaker-studio-s3-user-background-session-training-job-s3-access-grants-diagram.png)
**AWS verwaltete Anwendung**
Die folgende AWS verwaltete Anwendung mit Clientzugriff unterstützt die Weitergabe vertrauenswürdiger Identitäten:
+ [Amazon SageMaker Studio](setting-up-trusted-identity-propagation-sagemaker-studio.md)
**Gehen Sie wie folgt vor, um die Verbreitung vertrauenswürdiger Identitäten und Hintergrundsitzungen für Benutzer zu aktivieren:**
+ [Richten Sie SageMaker Studio als Anwendung für den Client ein.](setting-up-trusted-identity-propagation-sagemaker-studio.md)
+ [Richten Sie Amazon S3](tip-tutorial-s3.md) einAccess Grants, um den temporären Zugriff auf die zugrunde liegenden Datenspeicherorte in Amazon S3 zu ermöglichen.
# Einrichtung der Verbreitung vertrauenswürdiger Identitäten mit SageMaker Studio
Das folgende Verfahren führt Sie durch die Einrichtung von SageMaker Studio für die Verbreitung vertrauenswürdiger Identitäten und Benutzerhintergrundsitzungen.
## Voraussetzungen
Bevor Sie mit diesem Tutorial beginnen können, müssen Sie die folgenden Aufgaben erledigen:
1. [Aktivieren Sie IAM Identity Center](enable-identity-center.md). Eine Organisationsinstanz ist erforderlich. Weitere Informationen finden Sie unter [Voraussetzungen und Überlegungen](trustedidentitypropagation-overall-prerequisites.md).
1. [Stellen Sie die Benutzer und Gruppen aus Ihrer Identitätsquelle im IAM Identity](tutorials.md) Center bereit.
1. [Vergewissern Sie sich, dass Benutzerhintergrundsitzungen in der IAM Identity Center-Konsole aktiviert sind](user-background-sessions.md). Standardmäßig sind Benutzerhintergrundsitzungen aktiviert und die Sitzungsdauer ist auf 7 Tage festgelegt. Sie können diese Dauer ändern.
Um die Verbreitung vertrauenswürdiger Identitäten von SageMaker Studio aus einzurichten, muss der SageMaker Studio-Administrator die folgenden Schritte ausführen.
## Schritt 1: Aktivieren Sie die Verbreitung vertrauenswürdiger Identitäten in einer neuen oder vorhandenen SageMaker Studio-Domäne
SageMaker Studio verwendet Domänen, um Benutzerprofile, Anwendungen und die zugehörigen Ressourcen zu organisieren. Um die Verbreitung vertrauenswürdiger Identitäten zu aktivieren, müssen Sie eine SageMaker Studio-Domäne erstellen oder eine vorhandene Domäne ändern, wie im folgenden Verfahren beschrieben.
1. Öffnen Sie die SageMaker AI-Konsole, navigieren Sie zu **Domains** und führen Sie einen der folgenden Schritte aus.
+ **Erstellen Sie mithilfe von [Setup für Organisationen](https://docs.aws.amazon.com//sagemaker/latest/dg/onboard-custom.html#onboard-custom-instructions) eine neue SageMaker Studio-Domäne.**
Wählen Sie **Für Organisationen einrichten aus**, und gehen Sie dann wie folgt vor:
+ Wählen Sie **AWS Identity Center** als Authentifizierungsmethode.
+ **Aktivieren Sie das Kontrollkästchen Weitergabe vertrauenswürdiger Identitäten für alle Benutzer in dieser Domain** aktivieren.
+ **Ändern Sie eine bestehende SageMaker Studio-Domäne.**
+ Wählen Sie eine vorhandene Domäne aus, die IAM Identity Center für die Authentifizierung verwendet.
**Wichtig**
Die Weitergabe vertrauenswürdiger Identitäten wird nur in SageMaker Studio-Domänen unterstützt, die IAM Identity Center zur Authentifizierung verwenden. Wenn die Domäne IAM für die Authentifizierung verwendet, können Sie die Authentifizierungsmethode nicht ändern und daher die Weitergabe vertrauenswürdiger Identitäten nicht aktivieren.
+ [Bearbeiten Sie die Domäneneinstellungen.](https://docs.aws.amazon.com//sagemaker/latest/dg/domain-edit) Bearbeiten Sie die **Authentifizierungs- und Berechtigungseinstellungen**, um die Verbreitung vertrauenswürdiger Identitäten zu aktivieren.
1. Fahren Sie mit [Schritt 2 fort: Konfigurieren Sie die standardmäßige Ausführungsrolle für die Domäne](#setting-up-trusted-identity-propagation-sagemaker-studio-domain-execution-role). Diese Rolle ist erforderlich, damit Benutzer einer SageMaker Studio-Domain auf andere AWS Dienste wie Amazon S3 zugreifen können.
## Schritt 2: Konfigurieren Sie die standardmäßige Domänenausführungsrolle und die Rollenvertrauensrichtlinie
Eine *Domänenausführungsrolle* ist eine [IAM-Rolle](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles), die eine SageMaker Studio-Domäne im Namen aller Benutzer in der Domäne übernimmt. Die Berechtigungen, die Sie dieser Rolle zuweisen, bestimmen, welche Aktionen SageMaker Studio ausführen kann.
1. Gehen Sie wie folgt vor, um eine Domain-Ausführungsrolle zu erstellen oder auszuwählen:
+ **Erstellen Sie mithilfe von [Setup für Organisationen eine Rolle, oder wählen Sie sie aus](https://docs.aws.amazon.com//sagemaker/latest/dg/onboard-custom.html#onboard-custom-instructions).**
+ Öffnen Sie die SageMaker AI-Konsole und folgen Sie den Anweisungen in **Schritt 2: Rollen und ML-Aktivitäten konfigurieren**, um eine neue Rolle für die Domain-Ausführung zu erstellen, oder wählen Sie eine vorhandene Rolle aus.
+ Schließen Sie die restlichen Einrichtungsschritte ab, um Ihre SageMaker Studio-Domain zu erstellen.
+ **Erstellen Sie manuell eine Ausführungsrolle.**
+ Öffnen Sie die IAM-Konsole und [erstellen Sie die Ausführungsrolle selbst](https://docs.aws.amazon.com//sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-create-execution-role).
1. [Aktualisieren Sie die Vertrauensrichtlinie](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_update-role-trust-policy.html), die der Domänenausführungsrolle zugeordnet ist, sodass sie die folgenden beiden Aktionen umfasst: [https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html](https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html)und [https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_iam-condition-keys.html](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_iam-condition-keys.html). Informationen dazu, wie Sie die Ausführungsrolle für Ihre SageMaker Studio-Domäne finden, finden [Sie unter Domänenausführungsrolle abrufen](https://docs.aws.amazon.com//sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-get-execution-role-domain).
Eine *Vertrauensrichtlinie* spezifiziert die Identität, die eine Rolle übernehmen kann. Diese Richtlinie ist erforderlich, damit der SageMaker Studio-Dienst die Rolle der Domänenausführung übernehmen kann. Fügen Sie diese beiden Aktionen hinzu, sodass sie in Ihrer Richtlinie wie folgt angezeigt werden.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"sagemaker.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
## Schritt 3: Überprüfen Sie die erforderlichen Amazon S3 Access Grant-Berechtigungen für die Domain-Ausführungsrolle
Um Amazon S3 Access Grants verwenden zu können, müssen Sie Ihrer SageMaker Studio-Domain-Ausführungsrolle eine Berechtigungsrichtlinie (entweder als Inline-Richtlinie oder als vom Kunden verwaltete Richtlinie) angehängt haben, die die folgenden Berechtigungen enthält.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetDataAccess",
"s3:GetAccessGrantsInstanceForPrefix"
],
"Resource": "arn:aws:s3:us-east-2:111122223333:access-grants/default"
}
]
}
```
Wenn Sie keine Richtlinie haben, die diese Berechtigungen enthält, folgen Sie den Anweisungen unter [Hinzufügen und Entfernen von IAM-Identitätsberechtigungen](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-attach-detach.html) im *AWS Identity and Access Management Benutzerhandbuch*.
## Schritt 4: Weisen Sie der Domain Gruppen und Benutzer zu
Weisen Sie der SageMaker Studio-Domäne Gruppen und Benutzer zu, indem Sie die Schritte unter [Gruppen und Benutzer hinzufügen befolgen](https://docs.aws.amazon.com//sagemaker/latest/dg/domain-groups-add.html).
## Schritt 5: Amazon S3 Access Grants einrichten
Um Amazon S3 Access Grants einzurichten, folgen Sie den Schritten [unter Konfiguration von Amazon S3 Access Grants für die Weitergabe vertrauenswürdiger Identitäten über das IAM Identity Center](tip-tutorial-s3.md#tip-tutorial-s3-configure). Folgen Sie den step-by-step Anweisungen, um die folgenden Aufgaben zu erledigen:
1. Erstellen Sie eine Amazon S3 Access Grants-Instance.
1. Registrieren Sie einen Standort in dieser Instance.
1. Erstellen Sie Zuschüsse, um bestimmten Benutzern oder Gruppen von IAM Identity Center den Zugriff auf bestimmte Amazon S3 S3-Standorte oder Untergruppen (z. B. bestimmte Präfixe) innerhalb dieser Standorte zu ermöglichen.
## Schritt 6: Reichen Sie einen SageMaker Schulungsjob ein und sehen Sie sich die Details der Hintergrundsitzung der Benutzer an
Starten Sie in SageMaker Studio ein neues Jupyter-Notizbuch und reichen Sie einen Schulungsjob ein. Führen Sie während der Ausführung des Jobs die folgenden Schritte aus, um die Sitzungsinformationen anzuzeigen und zu überprüfen, ob der Sitzungskontext für den Benutzer im Hintergrund aktiv ist.
1. Öffnen Sie die IAM-Identity-Center-Konsole.
1. Wählen Sie **Users** (Benutzer) aus.
1. Wählen Sie auf der Seite **Benutzer** den Benutzernamen des Benutzers aus, dessen Sitzungen Sie verwalten möchten. Dadurch gelangen Sie zu einer Seite mit den Benutzerinformationen.
1. Wählen Sie auf der Seite des Benutzers die Registerkarte **Aktive Sitzungen** aus. Die Zahl in Klammern neben **Aktive Sitzungen** gibt die Anzahl der aktiven Sitzungen für diesen Benutzer an.
1. Um anhand des Amazon-Ressourcennamens (ARN) des Jobs, der die Sitzung verwendet, nach Sitzungen zu suchen, wählen Sie in der Liste **Sitzungstyp** die Option **User background sessions** aus und geben Sie dann den Job-ARN in das Suchfeld ein.
Im Folgenden finden Sie ein Beispiel dafür, wie ein Schulungsjob, der eine Benutzer-Hintergrundsitzung verwendet, auf der Registerkarte **Aktive Sitzungen** für einen Benutzer angezeigt wird.
![\[alt text not found\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/sagemaker-studio-training-job-displayed-in-identity-center-console-active-sessions.png)
## Schritt 7: Sehen Sie sich die CloudTrail Protokolle an, um die Verbreitung vertrauenswürdiger Identitäten in zu überprüfen CloudTrail
Wenn die Verbreitung vertrauenswürdiger Identitäten aktiviert ist, werden Aktionen in den CloudTrail Ereignisprotokollen unter dem `onBehalfOf` Element angezeigt. Das `userId` gibt die ID des IAM Identity Center-Benutzers wieder, der den Schulungsjob initiiert hat. Das folgende CloudTrail Ereignis erfasst den Prozess der Weitergabe vertrauenswürdiger Identitäten.
```
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROA123456789EXAMPLE:SageMaker",
"arn": "arn:aws:sts::111122223333:assumed-role/SageMaker-ExecutionRole-20250728T125817/SageMaker",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA123456789EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/service-role/SageMaker-ExecutionRole-20250728T125817",
"accountId": "111122223333",
"userName": "SageMaker-ExecutionRole-20250728T125817"
},
"attributes": {
"creationDate": "2025-07-29T17:17:10Z",
"mfaAuthenticated": "false"
}
},
"onBehalfOf": {
"userId": "2801d3e0-f0e1-707f-54e8-f558b19f0a10",
"identityStoreArn": "arn:aws:identitystore::777788889999:identitystore/d-1234567890"
}
},
```
## Überlegungen zur Laufzeit
Wenn ein Administrator **MaxRuntimeInSeconds**für lang andauernde Trainings- oder Verarbeitungsaufträge festlegt, die kürzer als die Dauer der Benutzerhintergrundsitzung sind, führt SageMaker Studio den Job mindestens für die Dauer der Benutzerhintergrundsitzung **MaxRuntimeInSeconds **oder für die Dauer der Benutzerhintergrundsitzung aus.
Weitere Informationen zu **MaxRuntimeInSeconds**finden Sie in der Anleitung für den `CreateTrainingJob` [StoppingCondition](https://docs.aws.amazon.com//sagemaker/latest/APIReference/API_CreateTrainingJob.html#sagemaker-CreateTrainingJob-request-StoppingCondition)Parameter in der *Amazon SageMaker API-Referenz*.
# Autorisierungsdienste
In allen [Analytik- und Data Lakehouse-Anwendungsfällen](trustedidentitypropagation-integrations.md#tip-data-analytic-usecases-overview) können Sie mithilfe folgender Methoden detaillierte Zugriffskontrollen erreichen:
+ AWS Lake Formation - Eine Anleitung finden Sie unter. [Einrichtung AWS Lake Formation mit IAM Identity Center](tip-tutorial-lf.md)
+ Amazon S3 Access Grants — Anleitungen finden Sie unter[Einrichtung von Amazon S3 Access Grants mit IAM Identity Center](tip-tutorial-s3.md).
# Einrichtung AWS Lake Formation mit IAM Identity Center
[AWS Lake Formation](https://docs.aws.amazon.com//lake-formation/latest/dg/what-is-lake-formation.html)ist ein verwalteter Dienst, der die Erstellung und Verwaltung von Data Lakes auf AWS vereinfacht. Er automatisiert die Datenerfassung, Katalogisierung und Sicherheit und bietet ein zentrales Repository für die Speicherung und Analyse verschiedener Datentypen. Lake Formation bietet detaillierte Zugriffskontrollen und lässt sich in verschiedene AWS Analysedienste integrieren, sodass Unternehmen ihre Data Lakes effizient einrichten, sichern und Erkenntnisse aus ihnen ableiten können.
Gehen Sie wie folgt vor, damit Lake Formation mithilfe von IAM Identity Center und vertrauenswürdiger Identitätsverbreitung Datenberechtigungen auf der Grundlage der Benutzeridentität gewähren kann.
## Voraussetzungen
Bevor Sie mit diesem Tutorial beginnen können, müssen Sie Folgendes einrichten:
+ [Aktivieren Sie IAM Identity Center](enable-identity-center.md). [Eine Organisationsinstanz](organization-instances-identity-center.md) wird empfohlen. Weitere Informationen finden Sie unter [Voraussetzungen und Überlegungen](trustedidentitypropagation-overall-prerequisites.md).
## Schritte zum Einrichten der Verbreitung vertrauenswürdiger Identitäten
1. **Integrieren Sie IAM Identity Center** und AWS Lake Formation folgen Sie dabei den Anweisungen unter [Connecting Lake Formation with IAM Identity](https://docs.aws.amazon.com//lake-formation/latest/dg/connect-lf-identity-center.html) Center.
**Wichtig**
**Wenn Sie keine AWS Glue Data Catalog Tabellen haben**, müssen Sie diese erstellen, um IAM Identity Center-Benutzern und -Gruppen Zugriff gewähren zu können AWS Lake Formation . Weitere Informationen finden Sie unter [Objekte erstellen in AWS Glue Data Catalog](https://docs.aws.amazon.com//lake-formation/latest/dg/populating-catalog.html).
1. **Registrieren Sie Data Lake-Standorte**.
[Registrieren Sie die S3-Standorte, an](https://docs.aws.amazon.com//lake-formation/latest/dg/register-location.html) denen die Daten der Glue-Tabellen gespeichert sind. Auf diese Weise gewährt Lake Formation temporären Zugriff auf die erforderlichen S3-Speicherorte, wenn die Tabellen abgefragt werden, sodass keine S3-Berechtigungen in die Servicerolle aufgenommen werden müssen (z. B. die auf dem konfigurierte Athena-Servicerolle). WorkGroup
1. Navigieren Sie im Navigationsbereich der Konsole im Bereich **Administration** zu den **Data Lake-Speicherorten**. AWS Lake Formation Wählen Sie **Standort registrieren** aus.
Auf diese Weise kann Lake Formation temporäre IAM-Anmeldeinformationen mit den erforderlichen Berechtigungen für den Zugriff auf S3-Datenstandorte bereitstellen.
![\[Schritt 1 Registrieren Sie den Data Lake-Standort in der Lake Formation Formation-Konsole.\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/lf-tutorial-step-3.1.png)
1. Geben Sie den S3-Pfad der Datenspeicherorte der AWS Glue Tabellen in das Feld **Amazon S3 S3-Pfad** ein.
1. Wählen Sie im Abschnitt „**IAM-Rolle**“ nicht die mit dem Service verknüpfte Rolle aus, wenn Sie sie mit der Verbreitung vertrauenswürdiger Identitäten verwenden möchten. Erstellen Sie eine separate Rolle mit den folgenden Berechtigungen.
Um diese Richtlinien zu verwenden, ersetzen Sie die Richtlinie *italicized placeholder text* im Beispiel durch Ihre eigenen Informationen. Weitere Anweisungen finden Sie unter [Richtlinie erstellen](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html) oder [Richtlinie bearbeiten](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html). Die Berechtigungsrichtlinie sollte Zugriff auf den S3-Standort gewähren, der im folgenden Pfad angegeben ist:
1. **Genehmigungsrichtlinie**:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "LakeFormationDataAccessPermissionsForS3",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::Your-S3-Bucket/*"
]
},
{
"Sid": "LakeFormationDataAccessPermissionsForS3ListBucket",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::Your-S3-Bucket"
]
},
{
"Sid": "LakeFormationDataAccessServiceRolePolicy",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets"
],
"Resource": [
"arn:aws:s3:::*"
]
}
]
}
```
------
1. **Vertrauensverhältnis**: Dies sollte Folgendes beinhalten`sts:SectContext`, was für die Weitergabe vertrauenswürdiger Identitäten erforderlich ist.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "lakeformation.amazonaws.com"
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
------
**Anmerkung**
Bei der vom Assistenten erstellten IAM-Rolle handelt es sich um eine dienstbezogene Rolle, die nicht enthalten ist. `sts:SetContext`
1. **Wählen Sie nach dem Erstellen der IAM-Rolle die Option Standort registrieren aus.**
## Vertrauenswürdige Identitätsverbreitung mit Lake Formation auf AWS-Konten
AWS Lake Formation unterstützt die gemeinsame Nutzung von [AWS Resource Access Manager (RAM)](https://docs.aws.amazon.com//ram/latest/userguide/what-is.html) für die gemeinsame Nutzung von Tabellen AWS-Konten und funktioniert mit der Weitergabe vertrauenswürdiger Identitäten, wenn sich das Grantor-Konto und das Empfängerkonto in derselben AWS-Region, in derselben AWS Organizations Organisationsinstanz von IAM Identity Center befinden und dieselbe Organisationsinstanz verwenden. Weitere Informationen finden Sie unter [Kontoübergreifender Datenaustausch in Lake Formation](https://docs.aws.amazon.com//lake-formation/latest/dg/cross-data-sharing-lf.html).
# Einrichtung von Amazon S3 Access Grants mit IAM Identity Center
[Amazon S3 Access Grants](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-get-started.html) bietet die Flexibilität, eine identitätsbasierte, detaillierte Zugriffskontrolle für S3-Standorte zu gewähren. Sie können Amazon S3 verwendenAccess Grants, um Ihren Unternehmensbenutzern und -gruppen direkten Zugriff auf den Amazon S3 S3-Bucket zu gewähren. Gehen Sie wie folgt vor, um S3 Access Grants mit IAM Identity Center zu aktivieren und eine vertrauenswürdige Identitätsverbreitung zu erreichen.
## Voraussetzungen
Bevor Sie mit diesem Tutorial beginnen können, müssen Sie Folgendes einrichten:
+ [Aktivieren Sie IAM Identity Center](enable-identity-center.md). [Eine Organisationsinstanz](organization-instances-identity-center.md) wird empfohlen. Weitere Informationen finden Sie unter [Voraussetzungen und Überlegungen](trustedidentitypropagation-overall-prerequisites.md).
## Konfiguration von S3 Access Grants für die Verbreitung vertrauenswürdiger Identitäten über das IAM Identity Center
**Wenn Sie bereits eine Amazon S3 Access Grants S3-Instance mit einem registrierten Standort haben, gehen Sie wie folgt vor:**
1. [Ordnen Sie Ihre IAM Identity Center-Instance](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-instance-idc.html) zu.
1. [Erstellen Sie einen Zuschuss](#tip-tutorial-s3-create-grant).
**Wenn Sie noch kein Amazon S3 Access Grants erstellt haben, gehen Sie wie folgt vor:**
1. [https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-instance-create.html](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-instance-create.html) erstellen — Sie können jeweils eine Access Grants S3-Instance erstellen AWS-Region. Achten Sie beim Erstellen der Access Grants S3-Instanz darauf, das Kästchen **IAM Identity Center-Instanz hinzufügen** zu aktivieren und den ARN Ihrer IAM Identity Center-Instanz anzugeben. Klicken Sie auf **Weiter**.
Die folgende Abbildung zeigt die Seite „Access GrantsS3-Instance erstellen“ in der Amazon S3 Access Grants S3-Konsole:
![\[Seite „Access GrantsS3-Instance“ in der S3 Access Grants-Konsole erstellen.\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/s3-tutorial-step-1.1.png)
1. **Standort registrieren** — Nachdem Sie [eine Amazon S3 Access Grants S3-Instance AWS-Region in Ihrem Konto erstellt](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-instance-create.html) und erstellt haben, [registrieren Sie einen S3-Standort](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-location-register.html) in dieser Instance. Ein Access Grants S3-Standort ordnet die Standard-S3-Region (`S3://`), einen Bucket oder ein Präfix einer IAM-Rolle zu. S3 Access Grants übernimmt diese Amazon S3 S3-Rolle, um temporäre Anmeldeinformationen an den Empfänger weiterzugeben, der auf diesen bestimmten Standort zugreift. Sie müssen zuerst mindestens einen Standort in Ihrer Access Grants S3-Instance registrieren, bevor Sie eine Zugriffsberechtigung erstellen können.
Geben Sie für den **Bereich Standort** an`s3://`, der alle Ihre Buckets in dieser Region umfasst. Dies ist der empfohlene Standortbereich für die meisten Anwendungsfälle. Wenn Sie ein Anwendungsbeispiel für erweitertes Zugriffsmanagement haben, können Sie den Standortbereich auf einen bestimmten Bereich `s3://bucket` oder ein bestimmtes Präfix innerhalb eines Buckets festlegen`s3://bucket/prefix-with-path`. Weitere Informationen finden Sie unter [Einen Standort registrieren](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-location-register.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.
**Anmerkung**
Stellen Sie sicher, dass die S3-Speicherorte der AWS Glue Tabellen, auf die Sie Zugriff gewähren möchten, in diesem Pfad enthalten sind.
Das Verfahren erfordert, dass Sie eine IAM-Rolle für den Standort konfigurieren. Diese Rolle sollte Berechtigungen für den Zugriff auf den Standortbereich beinhalten. Sie können den S3-Konsolenassistenten verwenden, um die Rolle zu erstellen. Sie müssen Ihren Access Grants S3-Instance-ARN in den Richtlinien für diese IAM-Rolle angeben. Der Standardwert Ihres Access Grants S3-Instance-ARN ist`arn:aws:s3:Your-Region:Your-AWS-Account-ID:access-grants/default`.
Die folgende Beispielberechtigungsrichtlinie erteilt Amazon S3 S3-Berechtigungen für die von Ihnen erstellte IAM-Rolle. Und die darauf folgende Beispiel-Vertrauensrichtlinie ermöglicht es dem Access Grants S3-Serviceprinzipal, die IAM-Rolle zu übernehmen.
1. **Berechtigungsrichtlinie**
Um diese Richtlinien zu verwenden, ersetzen Sie die Richtlinie *italicized placeholder text* im Beispiel durch Ihre eigenen Informationen. Weitere Anweisungen finden Sie unter [Richtlinie erstellen](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html) oder [Richtlinie bearbeiten](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ObjectLevelReadPermissions",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:GetObjectVersion",
"s3:GetObjectAcl",
"s3:GetObjectVersionAcl",
"s3:ListMultipartUploadParts"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "111122223333"
},
"ArnEquals": {
"s3:AccessGrantsInstanceArn": [
"arn:aws:s3:::access-grants/instance-id"
]
}
}
},
{
"Sid": "ObjectLevelWritePermissions",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:PutObjectAcl",
"s3:PutObjectVersionAcl",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "111122223333"
},
"ArnEquals": {
"s3:AccessGrantsInstanceArn": [
"arn:aws:s3:::access-grants/instance-id"
]
}
}
},
{
"Sid": "BucketLevelReadPermissions",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "111122223333"
},
"ArnEquals": {
"s3:AccessGrantsInstanceArn": [
"arn:aws:s3:::access-grants/instance-id"
]
}
}
},
{
"Sid": "OptionalKMSPermissionsForSSEEncryption",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": [
"*"
]
}
]
}
```
------
1. **Vertrauensrichtlinie**
Gewähren Sie in der Vertrauensrichtlinie für IAM-Rollen dem S3-Access-Grants-Service (`access-grants.s3.amazonaws.com`)-Prinzipal Zugriff auf die IAM-Rolle, die Sie erstellt haben. Hierzu können Sie eine JSON-Datei mit den folgenden Anweisungen erstellen. Informationen zum Hinzufügen der Vertrauensrichtlinie zu Ihrem Konto finden Sie unter [Erstellen einer Rolle mit benutzerdefinierten Vertrauensrichtlinien](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-custom.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Stmt1234567891011",
"Effect": "Allow",
"Action": [
"sts:AssumeRole",
"sts:SetSourceIdentity"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333",
"aws:SourceArn": "Your-Custom-Access-Grants-Location-ARN"
}
}
},
{
"Sid": "Stmt1234567891012",
"Effect": "Allow",
"Action": "sts:SetContext",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333",
"aws:SourceArn": "Your-Custom-Access-Grants-Location-ARN"
},
"ForAllValues:ArnEquals": {
"sts:RequestContextProviders": "arn:aws:iam::aws:contextProvider/IdentityCenter"
}
}
}
]
}
```
------
## Amazon S3 Access Grant erstellen
Wenn Sie über eine Amazon S3 Access Grants S3-Instance mit einem registrierten Standort verfügen und Ihre IAM Identity Center-Instance damit verknüpft haben, können Sie [einen Grant erstellen](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-grant-create.html). Gehen Sie auf der Seite „**Grant erstellen**“ der S3-Konsole wie folgt vor:
**Erstellen einer Erteilung**
1. Wählen Sie den im vorherigen Schritt erstellten Standort aus. Sie können den Umfang des Zuschusses reduzieren, indem Sie ein Unterpräfix hinzufügen. Das Unterpräfix kann ein `bucket``bucket/prefix`, oder ein Objekt im Bucket sein. Weitere Informationen finden Sie unter [Subprefix](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-grant-create.html#subprefix) im *Amazon Simple Storage Service-Benutzerhandbuch*.
1. Wählen Sie je nach Bedarf unter **Berechtigungen und Zugriff** die Option **Lesen** und/oder **Schreiben** aus.
1. Wählen Sie unter **Granter type** die Option **Directory Identity form IAM Identity** Center aus.
1. Geben Sie die IAM Identity **Center-Benutzer- oder** Gruppen-ID ein. Sie finden den Benutzer und die Gruppe IDs in der IAM Identity Center-Konsole in den Abschnitten [**Benutzer** und **Gruppe**](howtoviewandchangepermissionset.md). Klicken Sie auf **Weiter**.
1. Überprüfen Sie auf der Seite **„Überprüfen und beenden**“ die Einstellungen für den S3 Access Grant und wählen Sie dann **Create Grant** aus.
Die folgende Abbildung zeigt die Seite „Grant erstellen“ in der Amazon S3 Access Grants S3-Konsole:
![\[Erstellen Sie die Grant-Seite in der Amazon S3 Access Grants-Konsole.\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/s3-tutorial-step-1.4.png)
# Richten Sie Ihre eigene OAuth 2.0-Anwendung ein
Die Verbreitung vertrauenswürdiger Identitäten ermöglicht es einer vom Kunden verwalteten Anwendung, im Namen eines Benutzers Zugriff auf Daten in AWS Diensten anzufordern. Die Datenzugriffsverwaltung basiert auf der Identität eines Benutzers, sodass Administratoren den Zugriff auf der Grundlage der bestehenden Benutzer- und Gruppenmitgliedschaften der Benutzer gewähren können. Die Identität des Benutzers, die in seinem Namen ausgeführten Aktionen und andere Ereignisse werden in dienstspezifischen Protokollen und CloudTrail Ereignissen aufgezeichnet.
Bei der Weitergabe vertrauenswürdiger Identitäten kann sich ein Benutzer bei einer vom Kunden verwalteten Anwendung anmelden, und diese Anwendung kann die Identität des Benutzers bei Anfragen zum Zugriff auf Daten weitergeben. AWS-Services
**Wichtig**
Um auf eine vom Kunden verwaltete Anwendungen zugreifen zu können AWS-Service, müssen sie ein Token von einem vertrauenswürdigen Token-Aussteller erhalten, der sich außerhalb von IAM Identity Center befindet. Ein *vertrauenswürdiger Token-Aussteller* ist ein OAuth 2.0-Autorisierungsserver, der signierte Token erstellt. Diese Token autorisieren Anwendungen, die Zugriffsanfragen auf AWS-Services (Empfangen von Anwendungen) initiieren. Weitere Informationen finden Sie unter [Verwenden Sie Anwendungen mit einem vertrauenswürdigen Token-Emittenten](using-apps-with-trusted-token-issuer.md).
**Topics**
+ [Richten Sie vom Kunden verwaltete OAuth 2.0-Anwendungen für die Verbreitung vertrauenswürdiger Identitäten ein](customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2.md)
+ [Geben Sie vertrauenswürdige Anwendungen an](trustedidentitypropagation-using-customermanagedapps-specify-trusted-apps.md)
+ [Verwenden Sie Anwendungen mit einem vertrauenswürdigen Token-Emittenten](using-apps-with-trusted-token-issuer.md)
# Richten Sie vom Kunden verwaltete OAuth 2.0-Anwendungen für die Verbreitung vertrauenswürdiger Identitäten ein
Um eine vom Kunden verwaltete OAuth 2.0-Anwendung für die Verbreitung vertrauenswürdiger Identitäten einzurichten, müssen Sie sie zunächst zu IAM Identity Center hinzufügen. Gehen Sie wie folgt vor, um Ihre Anwendung zu IAM Identity Center hinzuzufügen.
**Topics**
+ [Schritt 1: Wählen Sie den Anwendungstyp](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-select-app-type)
+ [Schritt 2: Geben Sie die Anwendungsdetails an](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-specify-app-details)
+ [Schritt 3: Geben Sie die Authentifizierungseinstellungen an](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-specify-authentication-settings)
+ [Schritt 4: Geben Sie die Anmeldeinformationen für die Anwendung an](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-specify-application-credentials)
+ [Schritt 5: Überprüfen und konfigurieren](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-review-and-configure)
## Schritt 1: Wählen Sie den Anwendungstyp
1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).
1. Wählen Sie **Applications (Anwendungen)**.
1. Wählen Sie die Registerkarte **Vom Kunden verwaltet** aus.
1. Wählen Sie **Anwendung hinzufügen**.
1. Wählen Sie auf der Seite **Anwendungstyp auswählen** unter **Einrichtungspräferenz** die Option **Ich habe eine Anwendung, die ich einrichten möchte** aus.
1. Wählen Sie unter **Anwendungstyp** die Option **OAuth 2.0** aus.
1. Wählen Sie **Weiter**, um zur nächsten Seite zu gelangen[Schritt 2: Geben Sie die Anwendungsdetails an](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-specify-app-details).
## Schritt 2: Geben Sie die Anwendungsdetails an
1. Geben Sie auf der Seite **Anwendungsdetails angeben** unter **Anwendungsname und Beschreibung** einen **Anzeigenamen** für die Anwendung ein, z. **MyApp** B. Geben Sie dann eine **Beschreibung** ein.
1. Wählen Sie unter **Zuweisungsmethode für Benutzer und Gruppen** eine der folgenden Optionen aus:
+ **Zuweisungen erforderlich** — Erlauben Sie nur Benutzern und Gruppen von IAM Identity Center, die dieser Anwendung zugewiesen sind, Zugriff auf die Anwendung.
**Sichtbarkeit der Anwendungskachel — Nur Benutzer, die der Anwendung direkt oder über eine Gruppenzuweisung zugewiesen wurden, können die Anwendungskachel im AWS Access Portal anzeigen, vorausgesetzt, dass die **Anwendungssichtbarkeit im AWS Access Portal auf Sichtbar** gesetzt ist.**
+ **Keine Zuweisungen erforderlich** — Erlauben Sie allen autorisierten IAM Identity Center-Benutzern und -Gruppen den Zugriff auf diese Anwendung.
Sichtbarkeit der Anwendungskachel — Die Anwendungskachel ist für alle Benutzer sichtbar, die sich beim AWS Access Portal anmelden, es sei denn, die **Sichtbarkeit der Anwendung im AWS Access Portal** ist auf **Nicht sichtbar** gesetzt.
1. Geben Sie unter **AWS Zugriffsportal** die URL ein, über die Benutzer auf die Anwendung zugreifen können, und geben Sie an, ob die Anwendungskachel im AWS Zugriffsportal sichtbar oder nicht sichtbar sein soll. Wenn Sie **Nicht sichtbar** wählen, können nicht einmal zugewiesene Benutzer die Anwendungskachel sehen.
1. Wählen Sie unter **Tags (optional)** die Option **Neues Tag hinzufügen** aus und geben Sie dann Werte für **Schlüssel** und **Wert an (optional)**.
Informationen zu Tags siehe [Ressourcen taggen AWS IAM Identity Center](tagging.md).
1. Wählen Sie **Weiter** und fahren Sie mit der nächsten Seite fort[Schritt 3: Geben Sie die Authentifizierungseinstellungen an](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-specify-authentication-settings).
## Schritt 3: Geben Sie die Authentifizierungseinstellungen an
Um eine vom Kunden verwaltete Anwendung, die OAuth 2.0 unterstützt, zu IAM Identity Center hinzuzufügen, müssen Sie einen vertrauenswürdigen Token-Aussteller angeben. Ein vertrauenswürdiger Token-Aussteller ist ein OAuth 2.0-Autorisierungsserver, der signierte Token erstellt. Diese Token autorisieren Anwendungen, die Anforderungen (anfordernde Anwendungen) für den Zugriff auf von AWS verwaltete Anwendungen (empfangende Anwendungen) initiieren.
1. Führen Sie auf der Seite **Authentifizierungseinstellungen angeben** unter **Vertrauenswürdige Token-Aussteller** einen der folgenden Schritte aus:
+ So verwenden Sie einen vorhandenen vertrauenswürdigen Token-Aussteller:
Aktivieren Sie das Kontrollkästchen neben dem Namen des vertrauenswürdigen Token-Ausstellers, den Sie verwenden möchten.
+ Um einen neuen vertrauenswürdigen Token-Emittenten hinzuzufügen:
1. Wählen Sie **Vertrauenswürdigen Token-Aussteller erstellen** aus.
1. Ein neuer Browser-Tab wird geöffnet. Folgen Sie den Schritten 5 bis 8 in[Wie füge ich einen vertrauenswürdigen Token-Aussteller zur IAM Identity Center-Konsole hinzu](setuptrustedtokenissuer.md#how-to-add-trustedtokenissuer).
1. Nachdem Sie diese Schritte abgeschlossen haben, kehren Sie zu dem Browserfenster zurück, das Sie für die Einrichtung Ihrer Anwendung verwenden, und wählen Sie den vertrauenswürdigen Token-Aussteller aus, den Sie gerade hinzugefügt haben.
1. Aktivieren Sie in der Liste der vertrauenswürdigen Token-Emittenten das Kontrollkästchen neben dem Namen des vertrauenswürdigen Token-Ausstellers, den Sie gerade hinzugefügt haben.
Nachdem Sie einen vertrauenswürdigen Token-Aussteller ausgewählt haben, wird der Abschnitt **Ausgewählte vertrauenswürdige Token-Aussteller konfigurieren angezeigt**.
1. **Geben **Sie unter Ausgewählte vertrauenswürdige Token-Emittenten konfigurieren** den Aud-Anspruch ein.** Der **Aud-Anspruch** identifiziert die Zielgruppe (Empfänger) für das Token, das vom vertrauenswürdigen Token-Emittenten generiert wurde. Weitere Informationen finden Sie unter [Ein Anspruch geltend machen](trusted-token-issuer-configuration-settings.md#trusted-token-issuer-aud-claim).
1. Um zu verhindern, dass sich Ihre Benutzer erneut authentifizieren müssen, wenn sie diese Anwendung verwenden, wählen Sie „**Aktualisierungstokengewährung aktivieren**“ aus. Wenn diese Option ausgewählt ist, aktualisiert sie das Zugriffstoken für die Sitzung alle 60 Minuten, bis die Sitzung abläuft oder der Benutzer die Sitzung beendet.
1. Wählen Sie **Weiter** und fahren Sie mit der nächsten Seite fort. [Schritt 4: Geben Sie die Anmeldeinformationen für die Anwendung an](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-specify-application-credentials)
## Schritt 4: Geben Sie die Anmeldeinformationen für die Anwendung an
Führen Sie die Schritte in diesem Verfahren aus, um die Anmeldeinformationen anzugeben, die Ihre Anwendung verwendet, um Token-Austauschaktionen mit vertrauenswürdigen Anwendungen durchzuführen. Diese Anmeldeinformationen werden in einer ressourcenbasierten Richtlinie verwendet. Die Richtlinie erfordert, dass Sie einen Prinzipal angeben, der berechtigt ist, die in der Richtlinie angegebenen Aktionen auszuführen. **Sie müssen einen Prinzipal angeben**, auch wenn sich die vertrauenswürdigen Anwendungen in derselben befinden AWS-Konto.
**Anmerkung**
Wenn Sie Berechtigungen mit Richtlinien festlegen, gewähren Sie nur die Berechtigungen, die für die Ausführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als die geringsten Berechtigungen.
Für diese Richtlinie ist die [https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html)API-Aktion erforderlich. Weitere Informationen zu dieser Richtlinie und ein Beispiel, das Sie nach Bedarf an Ihre Umgebung anpassen können, finden Sie unter[Beispiel für eine ressourcenbasierte Richtlinie für IAM Identity Center (IAM Identity Center)](iam-auth-access-using-resource-based-policies.md).
1. Führen Sie auf der Seite „**Anmeldeinformationen für die Anwendung angeben**“ einen der folgenden Schritte aus:
+ So geben Sie schnell eine oder mehrere IAM-Rollen an:
1. Wählen Sie **Eine oder mehrere IAM-Rollen eingeben** aus.
1. **Geben Sie unter IAM-Rollen** eingeben den Amazon-Ressourcennamen (ARN) einer vorhandenen IAM-Rolle an. Verwenden Sie die folgende Syntax, um den ARN anzugeben. Der Teil zur Angabe der Region im ARN ist leer, da IAM-Ressourcen globale Ressourcen sind.
```
arn:aws:iam::account:role/role-name-with-path
```
*Weitere Informationen finden Sie im Benutzerhandbuch unter [Kontenübergreifender Zugriff mithilfe ressourcenbasierter Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html#access_policies-cross-account-using-resource-based-policies) und [ ARNsIAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-arns).AWS Identity and Access Management *
+ So bearbeiten Sie die Richtlinie manuell (erforderlich, wenn Sie keine Anmeldeinformationen angeben):AWS
1. Wählen Sie **Anwendungsrichtlinie bearbeiten** aus.
1. Ändern Sie Ihre Richtlinie, indem Sie Text in das JSON-Textfeld eingeben oder einfügen.
1. Beheben Sie alle Sicherheitswarnungen, Fehler oder allgemeinen Warnungen, die während der Richtlinienvalidierung generiert wurden. Weitere Informationen finden Sie [im *AWS Identity and Access Management Benutzerhandbuch* unter Überprüfen von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html).
1. Wählen Sie **Weiter** und fahren Sie mit der nächsten Seite fort,. [Schritt 5: Überprüfen und konfigurieren](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-review-and-configure)
## Schritt 5: Überprüfen und konfigurieren
1. **Überprüfen Sie auf der Seite Überprüfen und konfigurieren** die von Ihnen getroffenen Entscheidungen. Um Änderungen vorzunehmen, wählen Sie den gewünschten Konfigurationsabschnitt aus, wählen Sie **Bearbeiten** und nehmen Sie dann die erforderlichen Änderungen vor.
1. Wenn Sie fertig sind, wählen Sie **Anwendung hinzufügen**.
1. Die von Ihnen hinzugefügte Anwendung wird in der Liste der vom **Kunden verwalteten Anwendungen** angezeigt.
1. Nachdem Sie Ihre vom Kunden verwaltete Anwendung in IAM Identity Center eingerichtet haben, müssen Sie eine oder mehrere AWS-Services oder vertrauenswürdige Anwendungen für die Identitätsweitergabe angeben. Auf diese Weise können sich Benutzer bei Ihrer vom Kunden verwalteten Anwendung anmelden und auf Daten in der vertrauenswürdigen Anwendung zugreifen.
Weitere Informationen finden Sie unter [Geben Sie vertrauenswürdige Anwendungen an](trustedidentitypropagation-using-customermanagedapps-specify-trusted-apps.md).
# Geben Sie vertrauenswürdige Anwendungen an
Nachdem Sie [Ihre vom Kunden verwaltete Anwendung eingerichtet](customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2.md) haben, müssen Sie einen oder mehrere vertrauenswürdige AWS Dienste oder vertrauenswürdige Anwendungen für die Identitätsweitergabe angeben. Geben Sie einen AWS Dienst an, der Daten enthält, auf die Benutzer Ihrer vom Kunden verwalteten Anwendungen zugreifen müssen. Wenn sich Ihre Benutzer bei Ihrer vom Kunden verwalteten Anwendung anmelden, gibt diese Anwendung die Identität Ihrer Benutzer an die vertrauenswürdige Anwendung weiter.
Gehen Sie wie folgt vor, um einen Dienst auszuwählen, und geben Sie dann einzelne Anwendungen an, denen Sie für diesen Dienst vertrauen möchten.
1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).
1. Wählen Sie **Applications (Anwendungen)**.
1. Wählen Sie die Registerkarte **Vom Kunden verwaltet** aus.
1. Wählen Sie in der Liste **Vom Kunden verwaltete Anwendungen** die OAuth 2.0-Anwendung aus, für die Sie Zugriffsanfragen einleiten möchten. Dies ist die Anwendung, bei der sich Ihre Benutzer anmelden.
1. Wählen Sie auf der **Detailseite** unter **Vertrauenswürdige Anwendungen für die Verbreitung von Identitäten** die Option **Vertrauenswürdige Anwendungen angeben** aus.
1. Wählen Sie unter **Setuptyp** die Option **Einzelne Anwendungen aus, geben Sie den Zugriff an**, und klicken Sie dann auf **Weiter**.
1. **Wählen Sie auf der Seite Service auswählen** den AWS Dienst aus, der über Anwendungen verfügt, denen Ihre vom Kunden verwaltete Anwendung bei der Identitätsweitergabe vertrauen kann, und klicken Sie dann auf **Weiter**.
Der Dienst, den Sie auswählen, definiert die Anwendungen, denen vertraut werden kann. Im nächsten Schritt wählen Sie Anwendungen aus.
1. **Wählen Sie auf der Seite „Anwendungen** auswählen“ die Option **Einzelne Anwendungen** aus, aktivieren Sie das Kontrollkästchen für jede Anwendung, die Zugriffsanfragen empfangen kann, und klicken Sie dann auf **Weiter**.
1. Führen Sie auf der Seite **Zugriff konfigurieren** unter **Konfigurationsmethode** einen der folgenden Schritte aus:
+ **Zugriff pro Anwendung auswählen –** Wählen Sie diese Option aus, um für jede Anwendung unterschiedliche Zugriffsebenen zu konfigurieren. Wählen Sie die Anwendung aus, für die Sie die Zugriffsebene konfigurieren möchten, und klicken Sie dann auf **Zugriff bearbeiten**. Ändern Sie unter **Anzuwendende Zugriffsebene** die Zugriffsebenen nach Bedarf und wählen Sie dann **Änderungen speichern** aus.
+ **Dieselbe Zugriffsebene auf alle Anwendungen anwenden** — Wählen Sie diese Option, wenn Sie die Zugriffsebenen nicht für jede Anwendung konfigurieren müssen.
1. Wählen Sie **Weiter** aus.
1. Überprüfen Sie auf der Seite **Konfiguration überprüfen** die von Ihnen getroffenen Entscheidungen. Um Änderungen vorzunehmen, wählen Sie den gewünschten Konfigurationsabschnitt aus, wählen Sie **Zugriff bearbeiten** und nehmen Sie dann die erforderlichen Änderungen vor.
1. Wenn Sie fertig sind, wählen Sie **Anwendungen vertrauen**.
# Verwenden Sie Anwendungen mit einem vertrauenswürdigen Token-Emittenten
Vertrauenswürdige Token-Emittenten ermöglichen es Ihnen, Trusted Identity Propagation mit Anwendungen zu verwenden, die sich außerhalb von authentifizieren. AWS Mit vertrauenswürdigen Token-Emittenten können Sie diese Anwendungen autorisieren, im Namen ihrer Benutzer Anfragen für den Zugriff auf verwaltete Anwendungen zu stellen. AWS
Die folgenden Themen beschreiben, wie vertrauenswürdige Token-Emittenten funktionieren, und bieten Anleitungen zur Einrichtung.
**Topics**
+ [Überblick über vertrauenswürdige Token-Emittenten](#trusted-token-issuer-overview)
+ [Voraussetzungen und Überlegungen für vertrauenswürdige Token-Emittenten](#trusted-token-issuer-prerequisites)
+ [Einzelheiten zum JTI-Antrag](#trusted-token-issuer-configuration-jti-claim)
+ [Konfigurationseinstellungen für vertrauenswürdigen Token-Emittenten](trusted-token-issuer-configuration-settings.md)
+ [Einen vertrauenswürdigen Token-Emittenten einrichten](setuptrustedtokenissuer.md)
+ [IAM-Rollensitzungen mit verbesserter Identität](trustedidentitypropagation-identity-enhanced-iam-role-sessions.md)
## Überblick über vertrauenswürdige Token-Emittenten
Die Verbreitung vertrauenswürdiger Identitäten bietet einen Mechanismus, mit dem Anwendungen, die AWS sich außerhalb von authentifizieren, mithilfe eines vertrauenswürdigen Token-Ausstellers Anfragen im Namen ihrer Benutzer stellen können. Ein *vertrauenswürdiger Token-Aussteller* ist ein OAuth 2.0-Autorisierungsserver, der signierte Token erstellt. Diese Token autorisieren Anwendungen, die Anfragen für den Zugriff auf (Empfangen von Anwendungen) initiieren AWS-Services(Anwendungen anfordern). Anfordernde Anwendungen initiieren Zugriffsanfragen im Namen von Benutzern, die vom vertrauenswürdigen Token-Aussteller authentifiziert werden. Die Benutzer sind sowohl dem vertrauenswürdigen Token-Aussteller als auch dem IAM Identity Center bekannt.
AWS-Services Benutzer, die Anfragen erhalten, verwalten eine detaillierte Autorisierung für ihre Ressourcen auf der Grundlage ihrer Benutzer und Gruppenzugehörigkeit, wie sie im Identity Center-Verzeichnis dargestellt sind. AWS-Services kann die Token des externen Token-Emittenten nicht direkt verwenden.
Um dieses Problem zu lösen, bietet IAM Identity Center der anfragenden Anwendung oder einem AWS Treiber, den die anfordernde Anwendung verwendet, die Möglichkeit, das vom vertrauenswürdigen Token-Aussteller ausgegebene Token gegen ein von IAM Identity Center generiertes Token auszutauschen. Das von IAM Identity Center generierte Token bezieht sich auf den entsprechenden IAM Identity Center-Benutzer. Die anfordernde Anwendung oder der Treiber verwendet das neue Token, um eine Anfrage an die empfangende Anwendung zu initiieren. Da das neue Token auf den entsprechenden Benutzer in IAM Identity Center verweist, kann die empfangende Anwendung den angeforderten Zugriff auf der Grundlage der Benutzer- oder Gruppenmitgliedschaft, wie sie in IAM Identity Center dargestellt ist, autorisieren.
**Wichtig**
Die Auswahl eines OAuth 2.0-Autorisierungsservers, der als vertrauenswürdiger Token-Aussteller hinzugefügt werden soll, ist eine Sicherheitsentscheidung, die sorgfältig geprüft werden muss. Wählen Sie nur vertrauenswürdige Token-Emittenten aus, denen Sie vertrauen, dass sie die folgenden Aufgaben ausführen:
Authentifizieren Sie den Benutzer, der im Token angegeben ist.
Autorisieren Sie den Zugriff dieses Benutzers auf die empfangende Anwendung.
Generieren Sie ein Token, das von IAM Identity Center gegen ein von IAM Identity Center erstelltes Token eingetauscht werden kann.
## Voraussetzungen und Überlegungen für vertrauenswürdige Token-Emittenten
Bevor Sie einen vertrauenswürdigen Token-Emittenten einrichten, sollten Sie sich mit den folgenden Voraussetzungen und Überlegungen vertraut machen.
+ **Konfiguration eines vertrauenswürdigen Token-Ausstellers**
Sie müssen einen OAuth 2.0-Autorisierungsserver (den vertrauenswürdigen Token-Aussteller) konfigurieren. Der vertrauenswürdige Token-Aussteller ist zwar in der Regel der Identitätsanbieter, den Sie als Identitätsquelle für IAM Identity Center verwenden, muss es aber nicht sein. Informationen zur Einrichtung des vertrauenswürdigen Token-Ausstellers finden Sie in der Dokumentation des jeweiligen Identitätsanbieters.
**Anmerkung**
Sie können bis zu 10 vertrauenswürdige Token-Aussteller für die Verwendung mit IAM Identity Center konfigurieren, sofern Sie die Identität jedes Benutzers im vertrauenswürdigen Token-Aussteller einem entsprechenden Benutzer im IAM Identity Center zuordnen.
+ Der OAuth 2.0-Autorisierungsserver (der vertrauenswürdige Token-Aussteller), der das Token erstellt, muss über einen [OpenID Connect (OIDC)](https://openid.net/specs/openid-connect-discovery-1_0.html) -Erkennungsendpunkt verfügen, über den IAM Identity Center öffentliche Schlüssel zur Überprüfung der Tokensignaturen abrufen kann. Weitere Informationen finden Sie unter [URL des OIDC-Discovery-Endpunkts (Aussteller-URL)](trusted-token-issuer-configuration-settings.md#oidc-discovery-endpoint-url).
+ **Vom vertrauenswürdigen Token-Emittenten ausgegebene Token**
Token des vertrauenswürdigen Token-Emittenten müssen die folgenden Anforderungen erfüllen:
+ Das Token muss signiert und im Format [JSON Web Token (JWT)](https://datatracker.ietf.org/doc/html/rfc7519#section-3) sein, wobei der Algorithmus verwendet wird RS256.
+ Das Token muss die folgenden Ansprüche enthalten:
+ [Issuer](https://datatracker.ietf.org/doc/html/rfc7519#section-4.1.1) (iss) — Die Entität, die das Token ausgestellt hat. Dieser Wert muss mit dem Wert übereinstimmen, der im OIDC-Erkennungsendpunkt (Aussteller-URL) im vertrauenswürdigen Token-Aussteller konfiguriert ist.
+ [Betreff](https://datatracker.ietf.org/doc/html/rfc7519#section-4.1.2) (Sub) — Der authentifizierte Benutzer.
+ [Zielgruppe](https://datatracker.ietf.org/doc/html/rfc7519#section-4.1.3) (aud) — Der beabsichtigte Empfänger des Tokens. Auf diesen wird zugegriffen AWS-Service , nachdem das Token gegen ein Token von IAM Identity Center eingetauscht wurde. Weitere Informationen finden Sie unter [Ein Anspruch geltend machen](trusted-token-issuer-configuration-settings.md#trusted-token-issuer-aud-claim).
+ [Ablaufzeit](https://datatracker.ietf.org/doc/html/rfc7519#section-4.1.4) (exp) — Die Zeit, nach der das Token abläuft.
+ Das Token kann ein Identitätstoken oder ein Zugriffstoken sein.
+ Das Token muss über ein Attribut verfügen, das eindeutig einem IAM Identity Center-Benutzer zugeordnet werden kann.
**Anmerkung**
Die Verwendung eines benutzerdefinierten Signaturschlüssels für JWTs from Microsoft Entra ID wird nicht unterstützt. Um Token von Microsoft Entra ID einem vertrauenswürdigen Token-Aussteller zu verwenden, können Sie keinen benutzerdefinierten Signaturschlüssel verwenden.
+ **Optionale Ansprüche**
IAM Identity Center unterstützt alle optionalen Ansprüche, die in RFC 7523 definiert sind. Weitere Informationen finden Sie in [Abschnitt 3: JWT-Format und Verarbeitungsanforderungen](https://datatracker.ietf.org/doc/html/rfc7523#section-3) dieses RFC.
Das Token kann beispielsweise einen [JTI-Anspruch (JWT-ID](https://datatracker.ietf.org/doc/html/rfc7519#section-4.1.7)) enthalten. Dieser Anspruch verhindert, sofern vorhanden, dass Token mit derselben JTI für den Tokenaustausch wiederverwendet werden. Weitere Informationen zu JTI-Ansprüchen finden Sie unter. [Einzelheiten zum JTI-Antrag](#trusted-token-issuer-configuration-jti-claim)
+ **IAM Identity Center-Konfiguration für die Zusammenarbeit mit einem vertrauenswürdigen Token-Emittenten**
Sie müssen außerdem IAM Identity Center aktivieren, die Identitätsquelle für IAM Identity Center konfigurieren und Benutzer bereitstellen, die den Benutzern im Verzeichnis des vertrauenswürdigen Token-Ausstellers entsprechen.
Dazu müssen Sie einen der folgenden Schritte ausführen:
+ Synchronisieren Sie Benutzer mithilfe des SCIM 2.0-Protokolls (System for Cross-Domain Identity Management) mit dem IAM Identity Center.
+ Erstellen Sie die Benutzer direkt im IAM Identity Center.
## Einzelheiten zum JTI-Antrag
Wenn IAM Identity Center eine Anfrage zum Austausch eines Tokens erhält, das IAM Identity Center bereits ausgetauscht hat, schlägt die Anfrage fehl. Um die Wiederverwendung eines Tokens für den Token-Austausch zu erkennen und zu verhindern, können Sie einen JTI-Anspruch angeben. IAM Identity Center schützt vor der Wiederholung von Tokens, die auf den Ansprüchen im Token basieren.
Nicht alle OAuth 2.0-Autorisierungsserver fügen Tokens einen JTI-Anspruch hinzu. Bei einigen OAuth 2.0-Autorisierungsservern können Sie möglicherweise keinen JTI als benutzerdefinierten Anspruch hinzufügen. OAuth 2.0-Autorisierungsserver, die die Verwendung eines JTI-Anspruchs unterstützen, fügen diesen Anspruch möglicherweise nur zu Identitätstoken, nur Zugriffstoken oder beiden hinzu. Weitere Informationen finden Sie in der Dokumentation zu Ihrem OAuth 2.0-Autorisierungsserver.
Informationen zum Erstellen von Anwendungen, die Token austauschen, finden Sie in der IAM Identity Center API-Dokumentation. Informationen zur Konfiguration einer vom Kunden verwalteten Anwendung zum Abrufen und Austauschen der richtigen Token finden Sie in der Dokumentation zur Anwendung.
# Konfigurationseinstellungen für vertrauenswürdigen Token-Emittenten
In den folgenden Abschnitten werden die Einstellungen beschrieben, die für die Einrichtung und Verwendung eines vertrauenswürdigen Token-Ausstellers erforderlich sind.
**Topics**
+ [URL des OIDC-Discovery-Endpunkts (Aussteller-URL)](#oidc-discovery-endpoint-url)
+ [Attributzuordnung](#trusted-token-issuer-attribute-mappings)
+ [Ein Anspruch geltend machen](#trusted-token-issuer-aud-claim)
## URL des OIDC-Discovery-Endpunkts (Aussteller-URL)
Wenn Sie der IAM Identity Center-Konsole einen vertrauenswürdigen Token-Aussteller hinzufügen, müssen Sie die URL des OIDC-Discovery-Endpunkts angeben. Auf diese URL wird üblicherweise mit ihrer relativen URL, verwiesen. `/.well-known/openid-configuration` In der IAM Identity Center-Konsole wird diese URL als *Aussteller-URL* bezeichnet.
**Anmerkung**
Sie müssen die URL des Discovery-Endpunkts *bis und* ohne einfügen. `.well-known/openid-configuration` Wenn sie in der URL enthalten `.well-known/openid-configuration` ist, funktioniert die Konfiguration des vertrauenswürdigen Token-Ausstellers nicht. Da IAM Identity Center diese URL nicht validiert, schlägt die Einrichtung des vertrauenswürdigen Token-Ausstellers ohne Benachrichtigung fehl, wenn die URL nicht korrekt formatiert ist.
Die URL des OIDC-Discovery-Endpunkts darf nur über die Ports 80 und 443 erreichbar sein.
IAM Identity Center verwendet diese URL, um zusätzliche Informationen über den vertrauenswürdigen Token-Aussteller abzurufen. Beispielsweise verwendet IAM Identity Center diese URL, um die Informationen abzurufen, die zur Überprüfung der vom vertrauenswürdigen Token-Emittenten generierten Token erforderlich sind. Wenn Sie einen vertrauenswürdigen Token-Aussteller zu IAM Identity Center hinzufügen, müssen Sie diese URL angeben. Die URL finden Sie in der Dokumentation des OAuth 2.0-Autorisierungsserver-Anbieters, den Sie zum Generieren von Tokens für Ihre Anwendung verwenden, oder wenden Sie sich direkt an den Anbieter, um Unterstützung zu erhalten.
## Attributzuordnung
Mithilfe von Attributzuordnungen kann IAM Identity Center den Benutzer, der in einem von einem vertrauenswürdigen Token-Aussteller ausgegebenen Token repräsentiert wird, einem einzelnen Benutzer in IAM Identity Center zuordnen. Sie müssen die Attributzuordnung angeben, wenn Sie den vertrauenswürdigen Token-Aussteller zu IAM Identity Center hinzufügen. Diese Attributzuordnung wird in einem Anspruch in dem Token verwendet, das vom vertrauenswürdigen Token-Aussteller generiert wird. Der Wert im Anspruch wird für die Suche im IAM Identity Center verwendet. Bei der Suche wird das angegebene Attribut verwendet, um einen einzelnen Benutzer in IAM Identity Center abzurufen, der als Benutzer innerhalb von IAM Identity Center verwendet wird. AWS Der von Ihnen gewählte Anspruch muss einem Attribut in einer festen Liste verfügbarer Attribute im IAM Identity Center-Identitätsspeicher zugeordnet werden. Sie können eines der folgenden IAM Identity Center-Identitätsspeicher-Attribute wählen: Benutzername, E-Mail und externe ID. Der Wert für das Attribut, das Sie in IAM Identity Center angeben, muss für jeden Benutzer eindeutig sein.
## Ein Anspruch geltend machen
Ein *Aud-Antrag* identifiziert die Zielgruppe (Empfänger), für die ein Token bestimmt ist. Wenn sich die Anwendung, die den Zugriff anfordert, über einen Identitätsanbieter authentifiziert, der nicht mit dem IAM Identity Center verbunden ist, muss dieser Identitätsanbieter als vertrauenswürdiger Token-Aussteller eingerichtet werden. Die Anwendung, die die Zugriffsanfrage empfängt (die empfangende Anwendung), muss das vom vertrauenswürdigen Token-Aussteller generierte Token gegen ein Token austauschen, das von IAM Identity Center generiert wurde.
Informationen darüber, wie Sie die Aud-Claim-Werte für die empfangende Anwendung abrufen können, da sie beim vertrauenswürdigen Token-Aussteller registriert sind, finden Sie in der Dokumentation Ihres vertrauenswürdigen Token-Ausstellers oder wenden Sie sich an den Administrator des vertrauenswürdigen Token-Ausstellers, um Unterstützung zu erhalten.
# Einen vertrauenswürdigen Token-Emittenten einrichten
Um die Verbreitung vertrauenswürdiger Identitäten für eine Anwendung zu aktivieren, die sich extern bei IAM Identity Center authentifiziert, müssen ein oder mehrere Administratoren einen vertrauenswürdigen Token-Aussteller einrichten. Ein vertrauenswürdiger Token-Aussteller ist ein OAuth 2.0-Autorisierungsserver, der Tokens an Anwendungen ausgibt, die Anfragen initiieren (Anwendungen anfordern). Die Token autorisieren diese Anwendungen, im Namen ihrer Benutzer Anfragen an eine empfangende Anwendung (an AWS-Service) zu stellen.
**Topics**
+ [Koordinierung der administrativen Rollen und Zuständigkeiten](#coordinating-administrative-roles-responsibilities)
+ [Aufgaben zur Einrichtung eines vertrauenswürdigen Token-Emittenten](#setuptrustedtokenissuer-tasks)
+ [Wie füge ich einen vertrauenswürdigen Token-Aussteller zur IAM Identity Center-Konsole hinzu](#how-to-add-trustedtokenissuer)
+ [Wie können Sie die Einstellungen für vertrauenswürdige Token-Aussteller in der IAM Identity Center-Konsole anzeigen oder bearbeiten](#view-edit-trusted-token-issuers)
+ [Einrichtungsprozess und Anforderungsablauf für Anwendungen, die einen vertrauenswürdigen Token-Aussteller verwenden](#setuptrustedtokenissuer-setup-process-request-flow)
## Koordinierung der administrativen Rollen und Zuständigkeiten
In einigen Fällen kann ein einziger Administrator alle erforderlichen Aufgaben für die Einrichtung eines vertrauenswürdigen Token-Emittenten ausführen. Wenn mehrere Administratoren diese Aufgaben ausführen, ist eine enge Abstimmung erforderlich. In der folgenden Tabelle wird beschrieben, wie mehrere Administratoren gemeinsam einen vertrauenswürdigen Token-Aussteller einrichten und den AWS Dienst für dessen Verwendung konfigurieren können.
**Anmerkung**
Bei der Anwendung kann es sich um einen beliebigen AWS Dienst handeln, der in IAM Identity Center integriert ist und die Verbreitung vertrauenswürdiger Identitäten unterstützt.
Weitere Informationen finden Sie unter [Aufgaben zur Einrichtung eines vertrauenswürdigen Token-Emittenten](#setuptrustedtokenissuer-tasks).
****
| Rolle | Führt diese Aufgaben aus | Koordiniert mit |
| --- | --- | --- |
| IAM Identity Center-Administrator | Fügt den externen IdP als vertrauenswürdigen Token-Aussteller zur IAM Identity Center-Konsole hinzu. Hilft bei der Einrichtung der korrekten Attributzuordnung zwischen IAM Identity Center und dem externen IdP. Benachrichtigt den AWS Dienstadministrator, wenn der vertrauenswürdige Token-Aussteller der IAM Identity Center-Konsole hinzugefügt wird. | Externer IdP-Administrator (vertrauenswürdiger Token-Aussteller) AWS Dienstadministrator |
| Externer IdP-Administrator (vertrauenswürdiger Token-Aussteller) | Konfiguriert den externen IdP für die Ausgabe von Tokens. Hilft bei der Einrichtung der korrekten Attributzuordnung zwischen IAM Identity Center und dem externen IdP. Stellt dem Dienstadministrator den Namen der Zielgruppe (Aud-Anspruch) zur AWS Verfügung. | IAM Identity Center-Administrator AWS Dienstadministrator |
| AWS Dienstadministrator | Sucht in der AWS Servicekonsole nach dem vertrauenswürdigen Token-Aussteller. Der vertrauenswürdige Token-Aussteller wird in der AWS Servicekonsole angezeigt, nachdem der IAM Identity Center-Administrator ihn der IAM Identity Center-Konsole hinzugefügt hat. Konfiguriert den AWS Dienst für die Verwendung des vertrauenswürdigen Token-Ausstellers. | IAM Identity Center-Administrator Externer IdP-Administrator (vertrauenswürdiger Token-Aussteller) |
## Aufgaben zur Einrichtung eines vertrauenswürdigen Token-Emittenten
Um einen vertrauenswürdigen Token-Aussteller einzurichten, müssen ein IAM Identity Center-Administrator, ein externer IdP-Administrator (vertrauenswürdiger Token-Aussteller) und ein Anwendungsadministrator die folgenden Aufgaben ausführen.
**Anmerkung**
Bei der Anwendung kann es sich um einen beliebigen AWS Dienst handeln, der in IAM Identity Center integriert ist und die Verbreitung vertrauenswürdiger Identitäten unterstützt.
1. **Den vertrauenswürdigen Token-Aussteller zu IAM Identity Center hinzufügen — Der IAM Identity Center-Administrator** [fügt den vertrauenswürdigen Token-Aussteller mithilfe der IAM Identity Center-Konsole](#how-to-add-trustedtokenissuer) hinzu oder. [APIs](https://docs.aws.amazon.com/singlesignon/latest/APIReference/API_Operations.html) Für diese Konfiguration müssen Sie Folgendes angeben:
+ Ein Name für den vertrauenswürdigen Token-Emittenten.
+ *Die URL des OIDC-Discovery-Endpunkts (in der IAM Identity Center-Konsole wird diese URL als Aussteller-URL bezeichnet).* Der Discovery-Endpunkt darf nur über die Ports 80 und 443 erreichbar sein.
+ Attributzuordnung für die Benutzersuche. Diese Attributzuordnung wird in einem Anspruch in dem Token verwendet, das vom vertrauenswürdigen Token-Emittenten generiert wird. Der Wert im Anspruch wird für die Suche im IAM Identity Center verwendet. Die Suche verwendet das angegebene Attribut, um einen einzelnen Benutzer in IAM Identity Center abzurufen.
1. **Connect AWS Dienst mit dem IAM Identity Center** verbinden — Der AWS Dienstadministrator muss die Anwendung mit dem IAM Identity Center verbinden, indem er die Konsole für die Anwendung oder die Anwendung verwendet. APIs
Nachdem der vertrauenswürdige Token-Aussteller der IAM Identity Center-Konsole hinzugefügt wurde, ist er auch in der AWS Servicekonsole sichtbar und kann vom Service-Administrator ausgewählt werden. AWS
1. **Konfigurieren Sie die Verwendung des Token-Austauschs** — In der AWS Servicekonsole konfiguriert AWS der AWS Service-Administrator den Service so, dass er vom vertrauenswürdigen Token-Aussteller ausgegebene Token akzeptiert. Diese Token werden gegen vom IAM Identity Center generierte Token ausgetauscht. Dazu müssen Sie den Namen des vertrauenswürdigen Token-Ausstellers aus Schritt 1 und den Aud-Claim-Wert angeben, der AWS dem Service entspricht.
Der vertrauenswürdige Token-Emittent fügt den Aud-Anspruchswert in das von ihm ausgegebene Token ein, um anzuzeigen, dass das Token für die Verwendung durch den AWS Dienst vorgesehen ist. Um diesen Wert zu erhalten, wenden Sie sich an den Administrator des vertrauenswürdigen Token-Ausstellers.
## Wie füge ich einen vertrauenswürdigen Token-Aussteller zur IAM Identity Center-Konsole hinzu
In einer Organisation mit mehreren Administratoren wird diese Aufgabe von einem IAM Identity Center-Administrator ausgeführt. Wenn Sie der IAM Identity Center-Administrator sind, müssen Sie auswählen, welcher externe IdP als vertrauenswürdiger Token-Aussteller verwendet werden soll.
**Um einen vertrauenswürdigen Token-Aussteller zur IAM Identity Center-Konsole hinzuzufügen**
1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).
1. Wählen Sie **Einstellungen** aus.
1. Wählen Sie auf der Seite **Einstellungen** die Registerkarte **Authentifizierung** aus.
1. Wählen Sie unter **Vertrauenswürdige Token-Aussteller die** Option **Vertrauenswürdigen Token-Aussteller erstellen** aus.
1. Gehen Sie auf der Seite **Einen externen IdP für die Ausgabe vertrauenswürdiger Token einrichten** unter **Informationen zum vertrauenswürdigen Token-Emittenten** wie folgt vor:
+ Geben Sie für **Issuer URL** die [OIDC-Discovery-URL](trusted-token-issuer-configuration-settings.md#oidc-discovery-endpoint-url) des externen IdP an, der Token für die Verbreitung vertrauenswürdiger Identitäten ausstellt. Sie müssen die URL des Discovery-Endpunkts bis und danach angeben. `.well-known/openid-configuration` Der Administrator des externen IdP kann diese URL bereitstellen.
**Anmerkung**
Hinweis: Diese URL muss mit der URL im Anspruch des Ausstellers (iss) in Tokens übereinstimmen, die für die Weitergabe vertrauenswürdiger Identitäten ausgegeben werden.
+ Geben Sie unter **Name des vertrauenswürdigen Token-Ausstellers** einen Namen ein, um diesen vertrauenswürdigen Token-Aussteller im IAM Identity Center und in der Anwendungskonsole zu identifizieren.
1. Gehen Sie unter **Attribute zuordnen** wie folgt vor:
+ Wählen Sie **unter Identity Provider-Attribut** ein Attribut aus der Liste aus, das einem Attribut im IAM Identity Center-Identitätsspeicher zugeordnet werden soll.
+ Wählen Sie für das **IAM Identity Center-Attribut** das entsprechende Attribut für die Attributzuordnung aus.
1. Wählen Sie unter **Tags (optional)** die Option **Neues Tag hinzufügen** aus, geben Sie einen Wert für **Schlüssel** und optional für **Wert** an.
Informationen zu Tags siehe [Ressourcen taggen AWS IAM Identity Center](tagging.md).
1. Wählen Sie **Vertrauenswürdigen Token-Aussteller erstellen** aus.
1. Wenn Sie mit der Erstellung des vertrauenswürdigen Token-Ausstellers fertig sind, wenden Sie sich an den Anwendungsadministrator, um ihm den Namen des vertrauenswürdigen Token-Ausstellers mitzuteilen, damit er bestätigen kann, dass der vertrauenswürdige Token-Aussteller in der entsprechenden Konsole sichtbar ist.
1. Der Anwendungsadministrator muss diesen vertrauenswürdigen Token-Aussteller in der entsprechenden Konsole auswählen, um Benutzern den Zugriff auf die Anwendung über Anwendungen zu ermöglichen, die für die Weitergabe vertrauenswürdiger Identitäten konfiguriert sind.
## Wie können Sie die Einstellungen für vertrauenswürdige Token-Aussteller in der IAM Identity Center-Konsole anzeigen oder bearbeiten
Nachdem Sie der IAM Identity Center-Konsole einen vertrauenswürdigen Token-Aussteller hinzugefügt haben, können Sie die entsprechenden Einstellungen anzeigen und bearbeiten.
Wenn Sie beabsichtigen, die Einstellungen des vertrauenswürdigen Token-Ausstellers zu bearbeiten, denken Sie daran, dass Benutzer dadurch den Zugriff auf alle Anwendungen verlieren können, die für die Verwendung des vertrauenswürdigen Token-Ausstellers konfiguriert sind. Um eine Unterbrechung des Benutzerzugriffs zu vermeiden, empfehlen wir, dass Sie sich mit den Administratoren aller Anwendungen abstimmen, die für die Verwendung des vertrauenswürdigen Token-Ausstellers konfiguriert sind, bevor Sie die Einstellungen bearbeiten.
**So können Sie die Einstellungen für vertrauenswürdige Token-Aussteller in der IAM Identity Center-Konsole anzeigen oder bearbeiten**
1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).
1. Wählen Sie **Einstellungen** aus.
1. Wählen Sie auf der Seite **„Einstellungen**“ die Registerkarte **Authentifizierung** aus.
1. Wählen Sie unter **Vertrauenswürdige Token-Aussteller** den vertrauenswürdigen Token-Aussteller aus, den Sie anzeigen oder bearbeiten möchten.
1. Wählen Sie **Actions** und anschließend **Bearbeiten**.
1. Auf der Seite **Vertrauenswürdigen Token-Aussteller bearbeiten** können Sie die Einstellungen nach Bedarf anzeigen oder bearbeiten. Sie können den Namen des vertrauenswürdigen Token-Ausstellers, die Attributzuordnungen und die Tags bearbeiten.
1. Wählen Sie **Änderungen speichern ** aus.
1. Im Dialogfeld **„Vertrauenswürdigen Token-Aussteller bearbeiten**“ werden Sie aufgefordert, zu bestätigen, dass Sie Änderungen vornehmen möchten. Wählen Sie **Bestätigen** aus.
## Einrichtungsprozess und Anforderungsablauf für Anwendungen, die einen vertrauenswürdigen Token-Aussteller verwenden
In diesem Abschnitt werden der Einrichtungsprozess und der Anforderungsablauf für Anwendungen beschrieben, die einen vertrauenswürdigen Token-Aussteller für die Weitergabe vertrauenswürdiger Identitäten verwenden. Das folgende Diagramm bietet einen Überblick über diesen Prozess.
![\[Einrichtung von Prozess- und Anforderungsabläufen für Apps, die einen vertrauenswürdigen Token-Aussteller für die Verbreitung vertrauenswürdiger Identitäten verwenden\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/trusted-identity-propagation-trusted-token-issuer-request-flow.png)
Die folgenden Schritte bieten zusätzliche Informationen zu diesem Prozess.
1. Richten Sie das IAM Identity Center und die empfangende AWS verwaltete Anwendung so ein, dass sie einen vertrauenswürdigen Token-Aussteller verwenden. Weitere Informationen finden Sie unter [Aufgaben zur Einrichtung eines vertrauenswürdigen Token-Emittenten](#setuptrustedtokenissuer-tasks).
1. Der Anforderungsablauf beginnt, wenn ein Benutzer die anfordernde Anwendung öffnet.
1. Die anfordernde Anwendung fordert vom vertrauenswürdigen Token-Aussteller ein Token an, um Anfragen an die empfangende AWS verwaltete Anwendung zu initiieren. Wenn sich der Benutzer noch nicht authentifiziert hat, löst dieser Prozess einen Authentifizierungsablauf aus. Das Token enthält die folgenden Informationen:
+ Der Betreff (Sub) des Benutzers.
+ Das Attribut, das IAM Identity Center verwendet, um den entsprechenden Benutzer in IAM Identity Center zu suchen.
+ Ein Zielgruppenanspruch (Aud), der einen Wert enthält, den der vertrauenswürdige Token-Aussteller der empfangenden AWS verwalteten Anwendung zuordnet. Wenn andere Ansprüche vorhanden sind, werden sie vom IAM Identity Center nicht verwendet.
1. Die anfordernde Anwendung oder der von ihr verwendete AWS Treiber leitet das Token an IAM Identity Center weiter und fordert den Austausch des Tokens gegen ein von IAM Identity Center generiertes Token an. Wenn Sie einen AWS Treiber verwenden, müssen Sie den Treiber möglicherweise für diesen Anwendungsfall konfigurieren. Weitere Informationen finden Sie in der Dokumentation der entsprechenden AWS verwalteten Anwendung.
1. IAM Identity Center verwendet den OIDC Discovery-Endpunkt, um den öffentlichen Schlüssel abzurufen, mit dem es die Authentizität des Tokens überprüfen kann. IAM Identity Center geht dann wie folgt vor:
+ Überprüft das Token.
+ Durchsucht das Identity Center-Verzeichnis. Zu diesem Zweck verwendet IAM Identity Center das zugeordnete Attribut, das im Token angegeben ist.
+ Überprüft, ob der Benutzer berechtigt ist, auf die empfangende Anwendung zuzugreifen. Wenn die AWS verwaltete Anwendung so konfiguriert ist, dass Zuweisungen an Benutzer und Gruppen erforderlich sind, muss der Benutzer über eine direkte oder gruppenbasierte Zuweisung zur Anwendung verfügen. Andernfalls wird die Anfrage abgelehnt. Wenn die AWS verwaltete Anwendung so konfiguriert ist, dass keine Benutzer- und Gruppenzuweisungen erforderlich sind, wird die Verarbeitung fortgesetzt.
**Anmerkung**
AWS Dienste verfügen über eine Standardeinstellungskonfiguration, die bestimmt, ob Zuweisungen für Benutzer und Gruppen erforderlich sind. Es wird empfohlen, die Einstellung „**Zuweisungen erforderlich**“ für diese Anwendungen nicht zu ändern, wenn Sie sie zusammen mit der Weitergabe vertrauenswürdiger Identitäten verwenden möchten. Selbst wenn Sie detaillierte Berechtigungen konfiguriert haben, die Benutzern den Zugriff auf bestimmte Anwendungsressourcen ermöglichen, kann das Ändern der Einstellung „**Zuweisungen erforderlich**“ zu unerwartetem Verhalten führen, einschließlich einer Unterbrechung des Benutzerzugriffs auf diese Ressourcen.
+ Überprüft, ob die anfordernde Anwendung so konfiguriert ist, dass sie gültige Bereiche für die empfangende verwaltete Anwendung verwendet. AWS
1. Wenn die vorherigen Überprüfungsschritte erfolgreich waren, erstellt IAM Identity Center ein neues Token. Das neue Token ist ein undurchsichtiges (verschlüsseltes) Token, das die Identität des entsprechenden Benutzers in IAM Identity Center, die Zielgruppe (Aud) der empfangenden AWS verwalteten Anwendung und die Bereiche enthält, die die anfordernde Anwendung verwenden kann, wenn sie Anfragen an die empfangende verwaltete Anwendung stellt. AWS
1. Die anfordernde Anwendung oder der von ihr verwendete Treiber initiiert eine Ressourcenanforderung an die empfangende Anwendung und leitet das von IAM Identity Center generierte Token an die empfangende Anwendung weiter.
1. Die empfangende Anwendung ruft das IAM Identity Center auf, um die Identität des Benutzers und die Bereiche zu ermitteln, die im Token kodiert sind. Es kann auch Anfragen zum Abrufen von Benutzerattributen oder Gruppenmitgliedschaften des Benutzers aus dem Identity Center-Verzeichnis stellen.
1. Die empfangende Anwendung verwendet ihre Autorisierungskonfiguration, um festzustellen, ob der Benutzer berechtigt ist, auf die angeforderte Anwendungsressource zuzugreifen.
1. Wenn der Benutzer berechtigt ist, auf die angeforderte Anwendungsressource zuzugreifen, beantwortet die empfangende Anwendung die Anfrage.
1. Die Identität des Benutzers, die in seinem Namen ausgeführten Aktionen und andere Ereignisse werden in den Protokollen und CloudTrail Ereignissen der empfangenden Anwendung aufgezeichnet. Die spezifische Art und Weise, wie diese Informationen protokolliert werden, ist je nach Anwendung unterschiedlich.
# IAM-Rollensitzungen mit verbesserter Identität
Das [AWS -Security-Token-Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_sts-comparison.html)(STS) ermöglicht es einer Anwendung, eine identitätserweiterte IAM-Rollensitzung abzurufen. Rollensitzungen mit erweiterter Identität verfügen über einen zusätzlichen Identitätskontext, der dem aufgerufenen eine Benutzerkennung beifügt. AWS-Service AWS-Services kann die Gruppenmitgliedschaften und Attribute des Benutzers in IAM Identity Center nachschlagen und sie verwenden, um den Zugriff des Benutzers auf Ressourcen zu autorisieren.
AWS Anwendungen rufen Rollensitzungen mit erweiterter Identität ab, indem sie Anfragen an die AWS STS [AssumeRole](https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html)API-Aktion stellen und eine Kontext-Assertion mit der Benutzerkennung (`userId`) im Parameter der `ProvidedContexts` Anfrage an übergeben. `AssumeRole` Die Kontext-Assertion wird aus dem `idToken` Anspruch abgerufen, der als Antwort auf eine Anfrage an eingegangen ist. `SSO OIDC` [https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html) Wenn eine AWS Anwendung eine Rollensitzung mit erweiterter Identität für den Zugriff auf eine Ressource verwendet, werden die `userId` initiierende Sitzung und die ausgeführte Aktion CloudTrail protokolliert. Weitere Informationen finden Sie unter [Protokollierung von IAM-Rollensitzungen mit verbesserter Identität](#trustedidentitypropagation-identity-enhanced-iam-role-session-logging).
**Topics**
+ [Arten von IAM-Rollensitzungen mit erweiterter Identität](#types-identity-enhanced-iam-role-sessions)
+ [Protokollierung von IAM-Rollensitzungen mit verbesserter Identität](#trustedidentitypropagation-identity-enhanced-iam-role-session-logging)
## Arten von IAM-Rollensitzungen mit erweiterter Identität
AWS STS kann zwei verschiedene Typen von IAM-Rollensitzungen mit erweiterter Identität erstellen, je nachdem, welche Kontext-Assertion in der Anfrage angegeben wurde. `AssumeRole` Anwendungen, die ID-Token von IAM Identity Center erhalten haben, können IAM-Rollensitzungen hinzufügen `sts:identiy_context` (empfohlen) oder `sts:audit_context` (aus Gründen der Abwärtskompatibilität unterstützt). Eine IAM-Rollensitzung mit erweiterter Identität kann nur eine dieser Kontext-Assertionen haben, nicht beide.
### IAM-Rollensitzungen mit verbesserter Identität, erstellt mit `sts:identity_context`
Wenn eine Rollensitzung mit erweiterter Identität `sts:identity_context` die aufgerufenen enthält, wird AWS-Service bestimmt, ob die Ressourcenautorisierung auf dem Benutzer basiert, der in der Rollensitzung vertreten ist, oder ob sie auf der Rolle basiert. AWS-Services Diese unterstützen die benutzerbasierte Autorisierung und bieten dem Administrator der Anwendung die Möglichkeit, dem Benutzer oder Gruppen, denen der Benutzer angehört, Zugriff zuzuweisen.
AWS-Services die keine benutzerbasierte Autorisierung unterstützen, ignorieren die. `sts:identity_context` CloudTrail protokolliert die userId des IAM Identity Center-Benutzers mit allen von der Rolle ausgeführten Aktionen. Weitere Informationen finden Sie unter [Protokollierung von IAM-Rollensitzungen mit verbesserter Identität](#trustedidentitypropagation-identity-enhanced-iam-role-session-logging).
Um diese Art von Rollensitzung mit erweiterter Identität abzurufen AWS STS, stellen Anwendungen den Wert des `sts:identity_context` Felds in der [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)Anfrage mithilfe des Anforderungsparameters bereit. `ProvidedContexts` Verwenden Sie `arn:aws:iam::aws:contextProvider/IdentityCenter` ihn als Wert für. `ProviderArn`
Weitere Informationen zum Verhalten der Autorisierung finden Sie in der Dokumentation zum Empfang AWS-Service.
### IAM-Rollensitzungen mit verbesserter Identität, erstellt mit `sts:audit_context`
In der Vergangenheit `sts:audit_context` wurde es verwendet, um die Benutzeridentität AWS-Services zu protokollieren, ohne sie für eine Autorisierungsentscheidung zu verwenden. AWS-Services sind nun in der Lage, einen einzigen Kontext zu `sts:identity_context` verwenden, um dies zu erreichen und Autorisierungsentscheidungen zu treffen. Wir empfehlen die Verwendung von Trusted Identity Propagation `sts:identity_context` in allen neuen Bereitstellungen.
## Protokollierung von IAM-Rollensitzungen mit verbesserter Identität
Wenn eine Anfrage an eine Sitzung gestellt wird, die eine identitätserweiterte IAM-Rollensitzung AWS-Service verwendet, wird das IAM Identity Center `userId` des Benutzers im Element angemeldet. CloudTrail `OnBehalfOf` Die Art und Weise, wie Ereignisse angemeldet werden, CloudTrail hängt vom ab. AWS-Service Nicht alle AWS-Services protokollieren das `onBehalfOf` Element.
Im Folgenden finden Sie ein Beispiel dafür, wie eine Anfrage an eine Sitzung AWS-Service mit erweiterter Identität gesendet wird, angemeldet wird. CloudTrail
```
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAEXAMPLE:MyRole",
"arn": "arn:aws:sts::111111111111:assumed-role/MyRole/MySession",
"accountId": "111111111111",
"accessKeyId": "ASIAEXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAEXAMPLE",
"arn": "arn:aws:iam::111111111111:role/MyRole",
"accountId": "111111111111",
"userName": "MyRole"
},
"attributes": {
"creationDate": "2023-12-12T13:55:22Z",
"mfaAuthenticated": "false"
}
},
"onBehalfOf": {
"userId": "11111111-1111-1111-1111-1111111111",
"identityStoreArn": "arn:aws:identitystore::111111111111:identitystore/d-111111111"
}
}
```
# Wechseln Sie die IAM Identity Center-Zertifikate
IAM Identity Center verwendet Zertifikate, um eine SAML-Vertrauensstellung zwischen IAM Identity Center und dem Dienstanbieter Ihrer Anwendung einzurichten. Wenn Sie eine Anwendung in IAM Identity Center hinzufügen, wird während des Einrichtungsvorgangs automatisch ein IAM Identity Center-Zertifikat für die Verwendung mit dieser Anwendung erstellt. Dieses automatisch generierte IAM Identity Center-Zertifikat ist standardmäßig für einen Zeitraum von fünf Jahren gültig.
Als IAM Identity Center-Administrator müssen Sie gelegentlich ältere Zertifikate für eine bestimmte Anwendung durch neuere ersetzen. Beispielsweise müssen Sie möglicherweise ein Zertifikat ersetzen, wenn sich das Ablaufdatum des Zertifikats nähert. Der Vorgang, bei dem ein älteres Zertifikat durch ein neueres ersetzt wird, wird als *Zertifikatsrotation* bezeichnet.
## Überlegungen vor der Rotation eines Zertifikats
Bevor Sie mit der Rotation eines Zertifikats in IAM Identity Center beginnen, sollten Sie Folgendes beachten:
+ Der Zertifizierungsrotationsprozess erfordert, dass Sie das Vertrauen zwischen IAM Identity Center und dem Dienstanbieter wiederherstellen. Verwenden Sie die unter beschriebenen Verfahren, um das Vertrauen wiederherzustellen. [Wechseln Sie ein IAM Identity Center-Zertifikat](rotatecert.md)
+ Die Aktualisierung des Zertifikats mit dem Dienstanbieter kann zu einer vorübergehenden Dienstunterbrechung für Ihre Benutzer führen, bis die Vertrauensstellung erfolgreich wiederhergestellt wurde. Planen Sie diesen Vorgang möglichst außerhalb der Spitzenzeiten sorgfältig.
# Wechseln Sie ein IAM Identity Center-Zertifikat
Die Rotation eines IAM Identity Center-Zertifikats ist ein mehrstufiger Prozess, der Folgendes umfasst:
+ Generieren eines neuen Zertifikats
+ Hinzufügen des neuen Zertifikats zur Website des Dienstanbieters
+ Das neue Zertifikat auf aktiv setzen
+ Das inaktive Zertifikat wird gelöscht
Wenden Sie alle folgenden Verfahren in der folgenden Reihenfolge an, um den Zertifikatsrotationsprozess für eine bestimmte Anwendung abzuschließen.
## Schritt 1: Generieren Sie ein neues Zertifikat
Neue IAM Identity Center-Zertifikate, die Sie generieren, können so konfiguriert werden, dass sie die folgenden Eigenschaften verwenden:
+ **Gültigkeitszeitraum** — Gibt die Zeit (in Monaten) an, bis ein neues IAM Identity Center-Zertifikat abläuft.
+ **Schlüsselgröße** — Bestimmt die Anzahl der Bits, die ein Schlüssel mit seinem kryptografischen Algorithmus verwenden muss. Sie können diesen Wert entweder auf 1024-Bit-RSA oder 2048-Bit-RSA festlegen. [Allgemeine Informationen zur Funktionsweise von Schlüsselgrößen in der Kryptografie finden Sie unter Schlüsselgröße.](https://en.wikipedia.org/wiki/Key_size)
+ **Algorithmus** — Gibt den Algorithmus an, den IAM Identity Center beim Signieren der SAML-Assertion/-Antwort verwendet. Sie können diesen Wert entweder auf SHA-1 oder SHA-256 setzen. AWS empfiehlt, wenn möglich SHA-256 zu verwenden, es sei denn, Ihr Dienstanbieter verlangt SHA-1. [Allgemeine Informationen zur Funktionsweise von Kryptografiealgorithmen finden Sie unter Kryptografie mit öffentlichen Schlüsseln.](https://en.wikipedia.org/wiki/Public-key_cryptography)
1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).
1. Wählen Sie **Applications (Anwendungen)**.
1. Wählen Sie in der Liste der Anwendungen die Anwendung aus, für die Sie ein neues Zertifikat generieren möchten.
1. Wählen Sie auf der Seite mit den Anwendungsdetails die Registerkarte **Konfiguration** aus. Wählen Sie unter **IAM Identity Center-Metadaten** die Option **Zertifikat verwalten** aus. Wenn Sie keine Registerkarte „**Konfiguration**“ haben oder die Konfigurationseinstellung nicht verfügbar ist, müssen Sie das Zertifikat für diese Anwendung nicht rotieren.
1. Wählen Sie auf der **IAM Identity Center-Zertifikatsseite** die Option **Neues Zertifikat generieren** aus.
1. Geben **Sie im Dialogfeld Neues IAM Identity Center-Zertifikat generieren** die entsprechenden Werte für **Gültigkeitsdauer**, **Algorithmus** und **Schlüsselgröße** an. Wählen Sie dann **Generieren** aus.
## Schritt 2: Aktualisieren Sie die Website des Dienstanbieters
Gehen Sie wie folgt vor, um die Vertrauensstellung mit dem Dienstanbieter der Anwendung wiederherzustellen.
**Wichtig**
Wenn Sie das neue Zertifikat auf den Dienstanbieter hochladen, können sich Ihre Benutzer möglicherweise nicht authentifizieren. Um diese Situation zu korrigieren, legen Sie das neue Zertifikat wie im nächsten Schritt beschrieben als aktiv fest.
1. Wählen Sie in der [IAM Identity Center-Konsole](https://console.aws.amazon.com/singlesignon) die Anwendung aus, für die Sie gerade ein neues Zertifikat generiert haben.
1. Wählen Sie auf der Seite mit den Anwendungsdetails die Option **Konfiguration bearbeiten** aus.
1. Wählen Sie **Anweisungen anzeigen** aus und folgen Sie dann den Anweisungen auf der Website Ihres jeweiligen Anwendungsdienstanbieters, um das neu generierte Zertifikat hinzuzufügen.
## Schritt 3: Setzen Sie das neue Zertifikat auf aktiv
Einer Anwendung können bis zu zwei Zertifikate zugewiesen werden. IAM Identity Center verwendet die als aktiv eingestellte Zertifizierung, um alle SAML-Assertionen zu signieren.
1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).
1. Wählen Sie **Applications (Anwendungen)**.
1. Wählen Sie in der Liste der Anwendungen Ihre Anwendung aus.
1. Wählen Sie auf der Seite mit den Anwendungsdetails die Registerkarte **Konfiguration** aus. Wählen Sie unter **IAM Identity Center-Metadaten** die Option **Zertifikat verwalten** aus.
1. Wählen Sie auf der **IAM Identity Center-Zertifikatsseite** das Zertifikat aus, das Sie als aktiv festlegen möchten, wählen Sie **Aktionen** und dann **Als aktiv festlegen** aus.
1. Vergewissern Sie **sich im Dialogfeld Ausgewähltes Zertifikat als aktiv festlegen**, dass Sie beim Aktivieren eines Zertifikats möglicherweise die Vertrauensstellung erneut herstellen müssen, und wählen Sie dann **Make** active aus.
## Schritt 4: Löschen Sie das alte Zertifikat
Gehen Sie wie folgt vor, um den Zertifikatsrotationsprozess für Ihre Bewerbung abzuschließen. Sie können nur ein Zertifikat löschen, das sich im Status **Inaktiv** befindet.
1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).
1. Wählen Sie **Applications (Anwendungen)**.
1. Wählen Sie in der Liste der Anwendungen Ihre Anwendung aus.
1. Wählen Sie auf der Seite mit den Anwendungsdetails die Registerkarte **Konfiguration** aus. Wählen Sie unter **IAM Identity Center-Metadaten** die Option **Zertifikat verwalten** aus.
1. Wählen Sie auf der **IAM Identity Center-Zertifikatsseite** das Zertifikat aus, das Sie löschen möchten. Wählen Sie ** Actions** und dann **Delete ** aus.
1. Wählen **Sie im Dialogfeld „Zertifikat löschen**“ die Option **Löschen** aus.
# Indikatoren für den Ablaufstatus des Zertifikats
In der IAM Identity Center-Konsole werden auf der **Anwendungsseite** Statusanzeigesymbole in den Eigenschaften der einzelnen Anwendungen angezeigt. Diese Symbole werden in der Spalte **Läuft ab** neben jedem Zertifikat in der Liste angezeigt. Im Folgenden werden die Kriterien beschrieben, anhand derer IAM Identity Center bestimmt, welches Symbol für jedes Zertifikat angezeigt wird.
+ **Rot** — Zeigt an, dass ein Zertifikat derzeit abgelaufen ist.
+ **Gelb** — Zeigt an, dass ein Zertifikat in 90 Tagen oder weniger abläuft.
+ **Grün** — Zeigt an, dass ein Zertifikat derzeit gültig ist und noch mindestens 90 Tage gültig bleibt.
**Um den Status eines Zertifikats zu überprüfen**
1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).
1. Wählen Sie **Applications (Anwendungen)**.
1. Überprüfen Sie in der Liste der Anträge den Status der Zertifikate in der Liste, wie in der Spalte **Läuft ab am** angegeben.
# Machen Sie sich mit den Anwendungseigenschaften in der IAM Identity Center-Konsole vertraut
In IAM Identity Center können Sie die Benutzererfahrung anpassen, indem Sie die Start-URL der Anwendung, den Relay-Status und die Sitzungsdauer konfigurieren.
## Start-URL der Anwendung
Sie verwenden eine Anwendungs-Start-URL, um den Verbundprozess mit Ihrer Anwendung zu starten. In der Regel wird sie für Anwendungen verwendet, die nur vom Service Provider (SP) initiierte Bindungen unterstützen.
Die folgenden Schritte und das Diagramm veranschaulichen den Ablauf der URL-Authentifizierung beim Starten einer Anwendung, wenn ein Benutzer im AWS Access Portal eine Anwendung auswählt:
1. Der Browser des Benutzers leitet die Authentifizierungsanfrage mithilfe des Werts für die Start-URL der Anwendung weiter (in diesem Fall https://example.com).
1. Die Anwendung sendet eine `HTML` `POST` mit a `SAMLRequest` an das IAM Identity Center.
1. IAM Identity Center sendet dann eine `HTML` `POST` mit einer `SAMLResponse` Rückseite an die Anwendung.
![\[Das Diagramm zeigt den Workflow für die URL-Authentifizierung beim Start der App: Schritte, wenn der Benutzer die App im AWS Zugriffsportal auswählt.\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/app_properties_start_url.png)
## Relay-Status
Während des Verbund-Authentifizierungsprozesses leitet der Relais-Status Benutzer innerhalb der Anwendung um. Für SAML 2.0 wird dieser Wert unverändert an die Anwendung übergeben. Nachdem die Anwendungseigenschaften konfiguriert wurden, sendet IAM Identity Center den Relay-Status-Wert zusammen mit einer SAML-Antwort an die Anwendung.
![\[Das Diagramm zeigt den Verbundauthentifizierungsprozess: Relay-Status, SAML 2.0, IAM Identity Center, App empfängt Antwort.\]](http://docs.aws.amazon.com/de_de/singlesignon/latest/userguide/images/app_properties_relay_state.png)
## Sitzungsdauer
Die Sitzungsdauer ist der Zeitraum, für den eine Anwendungsbenutzersitzung gültig ist. Für SAML 2.0 wird dies verwendet, um das `SessionNotOnOrAfter` Datum des Elements der SAML-Assertion festzulegen. `saml2:AuthNStatement`
Die Sitzungsdauer kann von Anwendungen auf eine der folgenden Arten interpretiert werden:
+ Anwendungen können damit die maximale Zeit bestimmen, die für die Sitzung des Benutzers zulässig ist. Anwendungen können eine Benutzersitzung mit einer kürzeren Dauer generieren. Dies kann der Fall sein, wenn die Anwendung nur Benutzersitzungen mit einer Dauer unterstützt, die kürzer ist als die konfigurierte Länge der Sitzung ist.
+ Anwendungen können sie als exakte Dauer ansehen und Administratoren möglicherweise nicht erlauben, den Wert zu konfigurieren. Dies kann der Fall sein, wenn die Anwendung nur eine bestimmte Sitzungsdauer unterstützt.
Weitere Informationen darüber, wie die Sitzungsdauer verwendet wird, finden Sie in der Dokumentation der betreffenden Anwendung.
# Weisen Sie Benutzerzugriff auf Anwendungen in der IAM Identity Center-Konsole zu
Sie können Benutzern Single Sign-On-Zugriff auf SAML 2.0-Anwendungen im Anwendungskatalog oder auf benutzerdefinierte SAML 2.0-Anwendungen zuweisen.
Überlegungen zu Gruppenzuweisungen:
+ **Weisen Sie Gruppen den Zugriff direkt zu.** Um die Verwaltung der Zugriffsberechtigungen zu vereinfachen, empfehlen wir, den Zugriff direkt Gruppen und nicht einzelnen Benutzern zuzuweisen. Mit Gruppen können Sie Benutzergruppen Berechtigungen gewähren oder verweigern, anstatt diese Berechtigungen jedem einzelnen Benutzer zuzuweisen. Wenn ein Benutzer in eine andere Organisation wechselt, verschieben Sie diesen Benutzer einfach in eine andere Gruppe. Der Benutzer erhält dann automatisch die erforderlichen Berechtigungen für die neue Organisation.
+ **Verschachtelte Gruppen werden nicht unterstützt.** Beim Zuweisen von Benutzerzugriff auf Anwendungen unterstützt IAM Identity Center nicht, dass Benutzer zu verschachtelten Gruppen hinzugefügt werden. Wenn ein Benutzer zu einer verschachtelten Gruppe hinzugefügt wird, erhält er bei der Anmeldung möglicherweise die Meldung „Sie haben keine Anwendungen“. Zuweisungen müssen für die unmittelbare Gruppe vorgenommen werden, deren Mitglied der Benutzer ist.
**Um Benutzer- oder Gruppenzugriff auf Anwendungen zuzuweisen**
**Wichtig**
Für AWS verwaltete Anwendungen müssen Sie Benutzer direkt aus den entsprechenden Anwendungskonsolen oder über die hinzufügen APIs.
1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).
**Anmerkung**
Wenn Sie Benutzer in verwalten AWS Managed Microsoft AD, stellen Sie sicher, dass die IAM Identity Center-Konsole die AWS Region verwendet, in der sich Ihr AWS Managed Microsoft AD Verzeichnis befindet, bevor Sie den nächsten Schritt ausführen.
1. Wählen Sie **Applications (Anwendungen)**.
1. Wählen Sie in der Liste der Anwendungen den Namen der Anwendung aus, der Sie Zugriff zuweisen möchten.
1. Wählen Sie auf der Seite mit den Anwendungsdetails im Abschnitt **Zugewiesene Benutzer** die Option **Benutzer zuweisen** aus.
1. Geben **Sie im Dialogfeld „Benutzer zuweisen**“ einen Benutzeranzeigenamen oder einen Gruppennamen ein. Sie können mehrere Benutzer oder Gruppen angeben, indem Sie die entsprechenden Konten auswählen, so wie sie in den Suchergebnissen angezeigt werden.
1. Wählen Sie **Assign users (Benutzer zuweisen)** aus.
# Entfernen Sie den Benutzerzugriff auf SAML 2.0-Anwendungen
Gehen Sie wie folgt vor, um den Benutzerzugriff auf SAML 2.0-Anwendungen im Anwendungskatalog oder auf benutzerdefinierte SAML 2.0-Anwendungen zu entfernen. Weitere Informationen zu Authentifizierungssitzungen und deren Dauer finden Sie unter. [Grundlegendes zu Authentifizierungssitzungen in IAM Identity Center](authconcept.md)
**So entfernen Sie den Benutzerzugriff auf eine Anwendung**
1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).
1. Wählen Sie **Applications (Anwendungen)**.
1. Wählen Sie in der Liste der Anwendungen die Anwendung aus, für die Sie den Benutzerzugriff entfernen möchten.
1. Wählen Sie auf der Seite mit den Anwendungsdetails im Abschnitt **Zugewiesene Benutzer** den Benutzer oder die Gruppe aus, den Sie entfernen möchten, und klicken Sie dann auf die Schaltfläche **Zugriff entfernen**.
1. Überprüfen Sie im Dialogfeld **Remove access (Zugriff entfernen)** den Benutzer- oder Gruppennamen. Klicken Sie abschließend auf **Remove access (Zugriff entfernen)**.
# Ordnen Sie Attribute in Ihrer Anwendung den IAM Identity Center-Attributen zu
Einige Service-Anbieter erfordern benutzerdefinierte SAML-Zusicherungen, um zusätzliche Daten zu Ihren Benutzeranmeldungen zu übergeben. Verwenden Sie in diesem Fall das folgende Verfahren, um anzugeben, wie die Benutzerattribute Ihrer Anwendung den entsprechenden Attributen in IAM Identity Center zugeordnet werden sollen.
**So ordnen Sie Anwendungsattribute Attributen in IAM Identity Center zu**
1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).
1. Wählen Sie **Applications (Anwendungen)**.
1. Wählen Sie in der Liste der Anwendungen diejenige aus, für die Attribute zugeordnet werden sollen.
1. Wählen Sie auf der Seite mit den Anwendungsdetails die Option **Aktionen** und dann **Attributzuordnung bearbeiten** aus.
1. Wählen Sie **Neue Attributzuordnung hinzufügen** aus.
1. Geben Sie im ersten Textfeld das Anwendungsattribut ein.
1. Geben Sie im zweiten Textfeld das Attribut in IAM Identity Center ein, das Sie dem Anwendungsattribut zuordnen möchten. Möglicherweise möchten Sie das Anwendungsattribut dem IAM Identity Center-Benutzerattribut zuordnen**Username**. **email** Eine Liste der zulässigen Benutzerattribute in IAM Identity Center finden Sie in der Tabelle unter. [Attributzuordnungen zwischen dem IAM Identity Center und dem Verzeichnis externer Identitätsanbieter](attributemappingsconcept.md)
1. Wählen Sie in der dritten Spalte der Tabelle das entsprechende Format für das Attribut aus dem Menü aus.
1. Wählen Sie **Änderungen speichern ** aus.