Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Externe Identitätsanbieter
Mit IAM Identity Center können Sie Ihre vorhandenen Personalidentitäten von externen Identitätsanbietern (IdPs) über die Protokolle Security Assertion Markup Language (SAML) 2.0 und System for Cross-Domain Identity Management (SCIM) verbinden. Auf diese Weise können sich Ihre Benutzer mit ihren Unternehmensanmeldedaten beim Access Portal anmelden. AWS Sie können dann zu den ihnen zugewiesenen Konten, Rollen und Anwendungen navigieren, die auf einem externen Server gehostet IdPs werden.
Sie können beispielsweise einen externen IdP wie Okta oder Microsoft Entra ID mit dem IAM Identity Center verbinden. Ihre Benutzer können sich dann mit ihren vorhandenen AWS Zugangsdaten Okta oder Microsoft Entra ID Anmeldedaten beim Zugriffsportal anmelden. Um zu kontrollieren, was Ihre Benutzer nach der Anmeldung tun können, können Sie ihnen zentral Zugriffsberechtigungen für alle Konten und Anwendungen in Ihrer AWS Organisation zuweisen. Darüber hinaus können sich Entwickler einfach mit ihren vorhandenen Anmeldeinformationen bei AWS Command Line Interface (AWS CLI) anmelden und von der automatischen kurzfristigen Generierung und Rotation von Anmeldeinformationen profitieren.
Wenn Sie ein selbstverwaltetes Verzeichnis in Active Directory oder einem anderen verwenden AWS Managed Microsoft AD, finden Sie weitere Informationen unter. [Microsoft ADVerzeichnis](manage-your-identity-source-ad.md)
**Anmerkung**
Das SAML-Protokoll bietet keine Möglichkeit, den IdP abzufragen, um mehr über Benutzer und Gruppen zu erfahren. Daher müssen Sie IAM Identity Center auf diese Benutzer und Gruppen aufmerksam machen, indem Sie sie in IAM Identity Center bereitstellen.
## Bereitstellung, wenn Benutzer von einem externen IdP kommen
Wenn Sie einen externen IdP verwenden, müssen Sie alle entsprechenden Benutzer und Gruppen in IAM Identity Center bereitstellen, bevor Sie Zuweisungen zu AWS-Konten unseren Anwendungen vornehmen können. Dazu können Sie [Stellen Sie Benutzer und Gruppen von einem externen Identitätsanbieter mithilfe von SCIM bereit](provision-automatically.md) für Ihre Benutzer und Gruppen konfigurieren oder verwenden. [Manuelles Provisioning](provision-automatically.md#provision-manually) Unabhängig davon, wie Sie Benutzer bereitstellen, leitet IAM Identity Center die AWS-Managementkonsole Befehlszeilenschnittstelle und die Anwendungsauthentifizierung an Ihren externen IdP weiter. IAM Identity Center gewährt dann Zugriff auf diese Ressourcen auf der Grundlage der Richtlinien, die Sie in IAM Identity Center erstellen. Weitere Informationen zur Bereitstellung finden Sie unter. [Bereitstellung von Benutzern und Gruppen](users-groups-provisioning.md#user-group-provision)
**Topics**
+ [Bereitstellung, wenn Benutzer von einem externen IdP kommen](#provisioning-when-external-idp)
+ [Wie stelle ich eine Verbindung zu einem externen Identitätsanbieter her](how-to-connect-idp.md)
+ [Wie ändere ich die Metadaten eines externen Identitätsanbieters in IAM Identity Center](how-to-change-idp-metadata.md)
+ [Verwenden des SAML- und SCIM-Identitätsverbunds mit externen Identitätsanbietern](other-idps.md)
+ [SCIM-Profil und SAML 2.0-Implementierung](scim-profile-saml.md)
# Wie stelle ich eine Verbindung zu einem externen Identitätsanbieter her
Für die unterstützten externen IdPs Geräte gelten unterschiedliche Voraussetzungen, Überlegungen und Bereitstellungsverfahren. Für mehrere IdPs sind step-by-step Tutorials verfügbar:
+ [CyberArk](cyberark-idp.md)
+ [Google Workspace](gs-gwp.md)
+ [JumpCloud](jumpcloud-idp.md)
+ [Microsoft Entra ID](idp-microsoft-entra.md)
+ [Okta](gs-okta.md)
+ [OneLogin](onelogin-idp.md)
+ [Ping-Identität](pingidentity.md)
Weitere Informationen zu den Überlegungen für externe Geräte IdPs , die IAM Identity Center unterstützt, finden Sie unter[Verwenden des SAML- und SCIM-Identitätsverbunds mit externen Identitätsanbietern](other-idps.md).
Das folgende Verfahren bietet einen allgemeinen Überblick über das Verfahren, das bei allen externen Identitätsanbietern verwendet wird.
**So stellen Sie eine Verbindung zu einem externen Identitätsanbieter her**
1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).
1. Wählen Sie **Einstellungen** aus.
1. Wählen Sie auf der Seite „**Einstellungen**“ die Registerkarte „**Identitätsquelle**“ und dann „**Aktionen“ > „Identitätsquelle ändern**“.
1. **Wählen Sie unter Identitätsquelle** auswählen die Option **Externer Identitätsanbieter** und dann **Weiter** aus.
1. Gehen **Sie unter Externen Identitätsanbieter konfigurieren** wie folgt vor:
1. Wählen Sie unter **Metadaten des Dienstanbieters** die Option **Metadatendatei** herunterladen aus, um die Metadatendatei herunterzuladen und auf Ihrem System zu speichern. Die SAML-Metadatendatei von IAM Identity Center wird von Ihrem externen Identitätsanbieter benötigt.
**Anmerkung**
Die SAML-Metadatendatei, die Sie herunterladen, enthält sowohl den IPv4 reinen Assertion Consumer Service (ACS) als auch den Dual-Stack-Assertion Consumer Service. URLs Wenn Ihr IAM Identity Center in weitere Regionen repliziert wird, enthält die Metadatendatei außerdem ACS für jede weitere Region. URLs Wenn Ihr externer IdP ein Limit für die Anzahl der ACS hat URLs, müssen Sie das nicht benötigte ACS URLs entfernen. Wenn Ihr Unternehmen beispielsweise vollständig auf IP4v Dual-Stack-Endgeräte umgestellt hat und keine reinen Endgeräte mehr verwendet, können Sie letztere entfernen. Ein alternativer Ansatz besteht darin, die Metadatendatei nicht zu verwenden, sondern den ACS zu kopieren und URLs in den externen IdP einzufügen.
1. Wählen Sie unter **Metadaten des Identitätsanbieters** die **Option Datei auswählen** aus und suchen Sie die Metadatendatei, die Sie von Ihrem externen Identitätsanbieter heruntergeladen haben. Laden Sie dann die Datei hoch. Diese Metadatendatei enthält das erforderliche öffentliche x509-Zertifikat, das verwendet wird, um Nachrichten zu vertrauen, die vom IdP gesendet werden.
1. Wählen Sie **Weiter** aus.
**Wichtig**
Wenn Sie Ihre Quelle zu oder von Active Directory ändern, werden alle vorhandenen Benutzer- und Gruppenzuweisungen entfernt. Sie müssen die Zuweisungen manuell erneut anwenden, nachdem Sie Ihre Quelle erfolgreich geändert haben.
1. Nachdem Sie den Haftungsausschluss gelesen haben und bereit sind, fortzufahren, geben Sie **ACCEPT** ein.
1. Wählen Sie „**Identitätsquelle ändern**“. In einer Statusmeldung werden Sie darüber informiert, dass Sie die Identitätsquelle erfolgreich geändert haben.
# Wie ändere ich die Metadaten eines externen Identitätsanbieters in IAM Identity Center
Sie können die Metadaten Ihres externen Identitätsanbieters ändern, die Sie zuvor an das IAM Identity Center übermittelt haben. Diese Änderungen wirken sich auf die Fähigkeit Ihrer Benutzer aus, sich über IAM Identity Center anzumelden und auf AWS Ressourcen zuzugreifen. Im folgenden Verfahren wird beschrieben, wie Sie die Metadaten Ihres externen IdP aktualisieren, die im IAM Identity Center gespeichert sind. Um dieses Verfahren abzuschließen, benötigen Sie eine Organisationsinstanz von IAM Identity Center. Weitere Informationen finden Sie unter [Organisations- und Kontoinstanzen von IAM Identity Center](identity-center-instances.md).
**Um die Metadaten eines externen Identitätsanbieters zu ändern**
1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).
1. Wählen Sie **Einstellungen** aus.
1. Wählen Sie auf der Seite **Einstellungen** die Registerkarte **Identitätsquelle** aus. Wählen Sie „**Aktionen**“ und dann „**Authentifizierung verwalten**“.
1. Wählen Sie im Abschnitt **Metadaten des Identitätsanbieters** die Option **IdP-Metadaten bearbeiten** aus. Auf dieser Seite können Sie die Änderungen an der IdP-Anmelde-URL und/oder der IdP-Aussteller-URL für Ihren externen IdP vornehmen. Wählen Sie **Änderungen speichern**, wenn Sie alle erforderlichen Änderungen vorgenommen haben.
# Verwenden des SAML- und SCIM-Identitätsverbunds mit externen Identitätsanbietern
IAM Identity Center implementiert die folgenden standardbasierten Protokolle für den Identitätsverbund:
+ SAML 2.0 für die Benutzerauthentifizierung
+ SCIM für die Bereitstellung
Von jedem Identitätsanbieter (IdP), der diese Standardprotokolle implementiert, wird erwartet, dass er erfolgreich mit IAM Identity Center zusammenarbeitet, wobei die folgenden besonderen Überlegungen zu beachten sind:
+ **SAML**
+ IAM Identity Center erfordert ein SAML-NameID-Format für die E-Mail-Adresse (d. h.). `urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress`
+ [Der Wert des Felds NameID in Assertionen muss eine RFC 2822 ([https://tools.ietf.org/html/rfc2822) adressspezifikationskonforme („“) Zeichenfolge (/rfc2822 \$1section](https://tools.ietf.org/html/rfc2822) -3.4.1) sein. `name@domain.com` https://tools.ietf.org/html](https://tools.ietf.org/html/rfc2822#section-3.4.1)
+ Die Metadatendatei darf nicht mehr als 75000 Zeichen enthalten.
+ Die Metadaten müssen eine EntityID und ein X509-Zertifikat enthalten und Teil der SingleSignOnService Anmelde-URL sein.
+ Ein Verschlüsselungsschlüssel wird nicht unterstützt.
+ IAM Identity Center unterstützt nicht das Signieren von SAML-Authentifizierungsanforderungen, die es an externe Empfänger sendet. IdPs
+ Der IdP muss den Multiple Assertion Consumer Service (ACS) unterstützen, URLs wenn Sie planen, IAM Identity Center in weitere Regionen zu replizieren und die Vorteile eines IAM Identity Center mit mehreren Regionen voll auszuschöpfen. Weitere Informationen finden Sie unter [Verwenden von IAM Identity Center für mehrere AWS-Regionen](multi-region-iam-identity-center.md). Die Verwendung einer einzigen ACS-URL kann sich auf die Benutzererfahrung in weiteren Regionen auswirken. Ihre Hauptregion wird weiterhin normal funktionieren. Weitere Informationen zur Benutzererfahrung in weiteren Regionen mit einer einzigen ACS-URL finden Sie unter [Verwendung AWS verwalteter Anwendungen ohne mehrere ACS URLs](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls) und[AWS-Konto Ausfallsicherheit beim Zugriff ohne mehrere ACS URLs](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url).
+ **SCIM**
+ [Die SCIM-Implementierung von IAM Identity Center basiert auf SCIM RFCs 7642 ([https://tools.ietf.org/html/rfc7642), 7643 (/rfc7643](https://tools.ietf.org/html/rfc7642)) und 7644 ([https://tools.ietf.org/html/rfc7644](https://tools.ietf.org/html/rfc7643)) sowie den Interoperabilitätsanforderungen, die im Entwurf des Basic SCIM Profile 1.0 vom März 2020 (\$1rfc [https://tools.ietf.org/html.section.4](https://tools.ietf.org/html/rfc7644)) dargelegt wurden. FastFed https://openid.net/specs/fastfed-scim-1\$10-02.html](https://openid.net/specs/fastfed-scim-1_0-02.html#rfc.section.4) Alle Unterschiede zwischen diesen Dokumenten und der aktuellen Implementierung in IAM Identity Center werden im Abschnitt [Unterstützte API-Operationen](https://docs.aws.amazon.com/singlesignon/latest/developerguide/supported-apis.html) des *IAM Identity Center SCIM Implementation Developer Guide* beschrieben.
IdPs die nicht den oben genannten Standards und Überlegungen entsprechen, werden nicht unterstützt. Bitte wenden Sie sich an Ihren IdP, wenn Sie Fragen oder Erläuterungen zur Konformität seiner Produkte mit diesen Standards und Überlegungen haben.
Wenn Sie Probleme haben, Ihren IdP mit dem IAM Identity Center zu verbinden, empfehlen wir Ihnen, Folgendes zu überprüfen:
+ AWS CloudTrail **protokolliert, indem Sie nach dem Ereignisnamen Login filtern ExternalId PDirectory**
+ IDP-spezifische Protokolle Debug-Protokolle and/or
+ [Behebung von Problemen mit IAM Identity Center](troubleshooting.md)
**Anmerkung**
Einige IdPs, wie die in der[Tutorials zu Identitätsquellen im IAM Identity Center](tutorials.md), bieten eine vereinfachte Konfiguration für IAM Identity Center in Form einer „Anwendung“ oder eines „Connectors“, die speziell für IAM Identity Center entwickelt wurden. Wenn Ihr IdP diese Option anbietet, empfehlen wir Ihnen, sie zu verwenden. Achten Sie darauf, den Artikel auszuwählen, der speziell für IAM Identity Center entwickelt wurde. Andere Elemente, die als „AWS“, „AWS Federation“ oder ähnliche generische "AWS" Namen bezeichnet werden, verwenden möglicherweise and/or Endpunkte mit anderen Verbundansätzen und funktionieren möglicherweise nicht wie erwartet mit IAM Identity Center.
# SCIM-Profil und SAML 2.0-Implementierung
Sowohl SCIM als auch SAML sind wichtige Überlegungen bei der Konfiguration von IAM Identity Center.
## SAML 2.0-Implementierung
IAM Identity Center unterstützt den Identitätsverbund mit [SAML (Security Assertion Markup](https://wiki.oasis-open.org/security) Language) 2.0. Dadurch kann IAM Identity Center Identitäten von externen Identitätsanbietern authentifizieren (). IdPs SAML 2.0 ist ein offener Standard, der für den sicheren Austausch von SAML-Assertionen verwendet wird. SAML 2.0 überträgt Informationen über einen Benutzer zwischen einer SAML-Behörde (als Identitätsanbieter oder IdP bezeichnet) und einem SAML-Verbraucher (als Service Provider oder SP bezeichnet). Der IAM Identity Center-Dienst verwendet diese Informationen, um föderiertes Single Sign-On bereitzustellen. Single Sign-On ermöglicht Benutzern den Zugriff auf AWS-Konten und die Konfiguration von Anwendungen auf der Grundlage ihrer vorhandenen Identity Provider-Anmeldeinformationen.
IAM Identity Center erweitert Ihren IAM Identity Center-Shop oder einen externen Identitätsanbieter um SAML-IdP-Funktionen. AWS Managed Microsoft AD Benutzer können sich dann per Single Sign-On bei Diensten anmelden, die SAML unterstützen, einschließlich Anwendungen AWS-Managementkonsole und Drittanbieteranwendungen wie, und. Microsoft 365 Concur Salesforce
Das SAML-Protokoll bietet jedoch keine Möglichkeit, den IdP abzufragen, um mehr über Benutzer und Gruppen zu erfahren. Daher müssen Sie IAM Identity Center auf diese Benutzer und Gruppen aufmerksam machen, indem Sie sie in IAM Identity Center bereitstellen.
## SCIM-Profil
IAM Identity Center unterstützt den Standard System for Cross-Domain Identity Management (SCIM) v2.0. SCIM synchronisiert Ihre IAM Identity Center-Identitäten mit den Identitäten Ihres IdP. Dies beinhaltet jegliche Bereitstellung, Aktualisierung und Deprovisionierung von Benutzern zwischen Ihrem IdP und IAM Identity Center.
Weitere Informationen zur Implementierung von SCIM finden Sie unter. [Stellen Sie Benutzer und Gruppen von einem externen Identitätsanbieter mithilfe von SCIM bereit](provision-automatically.md) Weitere Informationen zur SCIM-Implementierung von IAM Identity Center finden Sie im [IAM Identity Center SCIM](https://docs.aws.amazon.com/singlesignon/latest/developerguide/what-is-scim.html) Implementation Developer Guide.
**Topics**
+ [SAML 2.0-Implementierung](#samlfederationconcept)
+ [SCIM-Profil](#scim-profile)
+ [Stellen Sie Benutzer und Gruppen von einem externen Identitätsanbieter mithilfe von SCIM bereit](provision-automatically.md)
+ [Wechseln Sie die SAML 2.0-Zertifikate](managesamlcerts.md)
# Stellen Sie Benutzer und Gruppen von einem externen Identitätsanbieter mithilfe von SCIM bereit
IAM Identity Center unterstützt die automatische Bereitstellung (Synchronisation) von Benutzer- und Gruppeninformationen von Ihrem Identity Provider (IdP) in IAM Identity Center mithilfe des Systems for Cross-Domain Identity Management (SCIM) v2.0-Protokoll. Wenn Sie die SCIM-Synchronisierung konfigurieren, erstellen Sie eine Zuordnung Ihrer Identity Provider (IdP) -Benutzerattribute zu den benannten Attributen in IAM Identity Center. Dadurch stimmen die erwarteten Attribute zwischen IAM Identity Center und Ihrem IdP überein. Sie konfigurieren diese Verbindung in Ihrem IdP mithilfe Ihres SCIM-Endpunkts für IAM Identity Center und eines Bearer-Tokens, das Sie in IAM Identity Center erstellen.
**Topics**
+ [Überlegungen zur Verwendung der automatischen Bereitstellung](#auto-provisioning-considerations)
+ [Wie überwacht man den Ablauf des Zugriffstokens](#access-token-expiry)
+ [Generieren Sie ein Zugriffstoken](generate-token.md)
+ [Aktivieren Sie die automatische Bereitstellung](how-to-with-scim.md)
+ [Löschen Sie ein Zugriffstoken](delete-token.md)
+ [Deaktivieren Sie die automatische Bereitstellung](disable-provisioning.md)
+ [Ein Zugriffstoken rotieren](rotate-token.md)
+ [Automatisch bereitgestellte Ressourcen prüfen und abgleichen](reconcile-auto-provisioning.md)
+ [Manuelles Provisioning](#provision-manually)
## Überlegungen zur Verwendung der automatischen Bereitstellung
Bevor Sie mit der Bereitstellung von SCIM beginnen, empfehlen wir Ihnen, zunächst die folgenden wichtigen Überlegungen zur Funktionsweise von SCIM mit IAM Identity Center zu lesen. Weitere Überlegungen zur Bereitstellung finden Sie in den für Ihren IdP [Tutorials zu Identitätsquellen im IAM Identity Center](tutorials.md) geltenden Bestimmungen.
+ Wenn Sie eine primäre E-Mail-Adresse bereitstellen, muss dieser Attributwert für jeden Benutzer eindeutig sein. In einigen IdPs Fällen ist die primäre E-Mail-Adresse möglicherweise keine echte E-Mail-Adresse. Beispielsweise könnte es sich um einen Universal Principal Name (UPN) handeln, der nur wie eine E-Mail aussieht. Diese IdPs können eine sekundäre oder „andere“ E-Mail-Adresse haben, die die tatsächliche E-Mail-Adresse des Benutzers enthält. Sie müssen SCIM in Ihrem IdP so konfigurieren, dass die eindeutige E-Mail-Adresse ungleich NULL dem primären E-Mail-Adressattribut von IAM Identity Center zugeordnet wird. Und Sie müssen die eindeutige Anmelde-ID des Benutzers, die nicht NULL ist, dem Benutzernamenattribut von IAM Identity Center zuordnen. Prüfen Sie, ob Ihr IdP einen einzigen Wert hat, der sowohl die Anmelde-ID als auch den E-Mail-Namen des Benutzers ist. Wenn ja, können Sie dieses IdP-Feld sowohl der primären IAM Identity Center-E-Mail-Adresse als auch dem IAM Identity Center-Benutzernamen zuordnen.
+ Damit die SCIM-Synchronisierung funktioniert, müssen für jeden Benutzer die Werte **Vorname, **Nachname****, **Benutzername** und **Anzeigename** angegeben werden. Wenn einer dieser Werte bei einem Benutzer fehlt, wird diesem Benutzer keine Provisionierung zugewiesen.
+ Wenn Sie Anwendungen von Drittanbietern verwenden müssen, müssen Sie zunächst das Betreffattribut für ausgehende SAML dem Benutzernamenattribut zuordnen. Wenn die Drittanbieteranwendung eine routbare E-Mail-Adresse benötigt, müssen Sie Ihrem IdP das E-Mail-Attribut zur Verfügung stellen.
+ Die SCIM-Bereitstellungs- und Aktualisierungsintervalle werden von Ihrem Identitätsanbieter gesteuert. Änderungen an Benutzern und Gruppen in Ihrem Identity Provider werden erst in IAM Identity Center übernommen, nachdem Ihr Identity Provider diese Änderungen an IAM Identity Center gesendet hat. Einzelheiten zur Häufigkeit von Benutzer- und Gruppenaktualisierungen erhalten Sie bei Ihrem Identitätsanbieter.
+ Derzeit werden mehrwertige Attribute (wie mehrere E-Mails oder Telefonnummern für einen bestimmten Benutzer) nicht mit SCIM bereitgestellt. Versuche, mehrwertige Attribute mit SCIM mit IAM Identity Center zu synchronisieren, schlagen fehl. Um Fehler zu vermeiden, stellen Sie sicher, dass für jedes Attribut nur ein einziger Wert übergeben wird. Wenn Sie Benutzer mit mehrwertigen Attributen haben, entfernen oder ändern Sie die doppelten Attributzuordnungen in SCIM bei Ihrem IdP für die Verbindung zum IAM Identity Center.
+ Stellen Sie sicher, dass die `externalId` SCIM-Zuordnung bei Ihrem IdP einem Wert entspricht, der eindeutig und immer vorhanden ist und sich für Ihre Benutzer am wenigsten ändert. Beispielsweise kann Ihr IdP eine garantierte `objectId` oder eine andere Kennung bereitstellen, auf die sich Änderungen an Benutzerattributen wie Name und E-Mail nicht auswirken. Wenn ja, können Sie diesen Wert dem `externalId` SCIM-Feld zuordnen. Dadurch wird sichergestellt, dass Ihre Benutzer keine AWS Berechtigungen, Zuweisungen oder Berechtigungen verlieren, wenn Sie ihren Namen oder ihre E-Mail-Adresse ändern müssen.
+ Benutzer, denen noch keine Anwendung zugewiesen wurde oder denen AWS-Konto keine Bereitstellung für IAM Identity Center möglich ist. Um Benutzer und Gruppen zu synchronisieren, stellen Sie sicher, dass sie der Anwendung oder einem anderen Setup zugewiesen sind, das die Verbindung Ihres IdP zum IAM Identity Center darstellt.
+ Das Verhalten bei der Deprovisionierung von Benutzern wird vom Identitätsanbieter verwaltet und kann je nach Implementierung variieren. Einzelheiten zur Deprovisionierung von Benutzern erhalten Sie bei Ihrem Identitätsanbieter.
+ Nachdem Sie die automatische Bereitstellung mit SCIM für Ihren IdP eingerichtet haben, können Sie in der IAM Identity Center-Konsole keine Benutzer mehr hinzufügen oder bearbeiten. Wenn Sie einen Benutzer hinzufügen oder ändern müssen, müssen Sie dies von Ihrem externen IdP oder Ihrer Identitätsquelle aus tun.
Weitere Informationen zur SCIM-Implementierung von IAM Identity Center finden Sie im [IAM Identity Center SCIM](https://docs.aws.amazon.com/singlesignon/latest/developerguide/what-is-scim.html) Implementation Developer Guide.
## Wie überwacht man den Ablauf des Zugriffstokens
SCIM-Zugriffstoken werden mit einer Gültigkeit von einem Jahr generiert. Wenn Ihr SCIM-Zugriffstoken so eingestellt ist, dass es in 90 Tagen oder weniger abläuft, AWS sendet es Ihnen in der IAM Identity Center-Konsole und über das AWS Health Dashboard Erinnerungen, damit Sie das Token wechseln können. Indem Sie das SCIM-Zugriffstoken rotieren, bevor es abläuft, stellen Sie kontinuierlich die automatische Bereitstellung von Benutzer- und Gruppeninformationen sicher. Wenn das SCIM-Zugriffstoken abläuft, wird die Synchronisation von Benutzer- und Gruppeninformationen von Ihrem Identitätsanbieter mit dem IAM Identity Center beendet, sodass bei der automatischen Bereitstellung keine Aktualisierungen mehr vorgenommen oder Informationen erstellt und gelöscht werden können. Eine Unterbrechung der automatischen Bereitstellung kann zu erhöhten Sicherheitsrisiken führen und den Zugriff auf Ihre Dienste beeinträchtigen.
Die Erinnerungen der Identity Center-Konsole bleiben bestehen, bis Sie das SCIM-Zugriffstoken rotieren und alle ungenutzten oder abgelaufenen Zugriffstoken löschen. Die AWS Health Dashboard-Ereignisse werden wöchentlich zwischen 90 und 60 Tagen, zweimal pro Woche zwischen 60 und 30 Tagen, dreimal pro Woche zwischen 30 und 15 Tagen und täglich zwischen 15 Tagen, bis die SCIM-Zugriffstoken ablaufen, erneuert.
# Generieren Sie ein Zugriffstoken
Gehen Sie wie folgt vor, um ein neues Zugriffstoken in der IAM Identity Center-Konsole zu generieren.
**Anmerkung**
Für dieses Verfahren müssen Sie zuvor die automatische Bereitstellung aktiviert haben. Weitere Informationen finden Sie unter [Aktivieren Sie die automatische Bereitstellung](how-to-with-scim.md).
**Um ein neues Zugriffstoken zu generieren**
1. Wählen Sie in der [IAM Identity Center-Konsole](https://console.aws.amazon.com/singlesignon) im linken Navigationsbereich **Einstellungen** aus.
1. Wählen Sie auf der Seite „**Einstellungen**“ die Registerkarte „**Identitätsquelle**“ und dann „**Aktionen“ > „Bereitstellung verwalten**“.
1. Wählen Sie auf der Seite **Automatische Bereitstellung** unter **Zugriffstoken die Option Token** **generieren** aus.
1. Kopieren **Sie im Dialogfeld Neues Zugriffstoken generieren** das neue Zugriffstoken und speichern Sie es an einem sicheren Ort.
1. Klicken Sie auf **Schließen**.
# Aktivieren Sie die automatische Bereitstellung
Gehen Sie wie folgt vor, um die automatische Bereitstellung von Benutzern und Gruppen von Ihrem IdP an das IAM Identity Center mithilfe des SCIM-Protokolls zu aktivieren.
**Anmerkung**
Bevor Sie mit diesem Verfahren beginnen, empfehlen wir Ihnen, zunächst die Überlegungen zur Bereitstellung zu überprüfen, die für Ihren IdP gelten. Weitere Informationen finden Sie unter [Tutorials zu Identitätsquellen im IAM Identity Center](tutorials.md) Für Ihren IdP.
**Um die automatische Bereitstellung im IAM Identity Center zu aktivieren**
1. Nachdem Sie die Voraussetzungen erfüllt haben, öffnen Sie die [IAM Identity](https://console.aws.amazon.com/singlesignon) Center-Konsole.
1. Wählen Sie im linken Navigationsbereich **Einstellungen** aus.
1. Suchen Sie auf der Seite **Einstellungen** das Informationsfeld **Automatische Bereitstellung** und wählen Sie dann **Aktivieren** aus. Dadurch wird sofort die automatische Bereitstellung im IAM Identity Center aktiviert und die erforderlichen SCIM-Endpoint- und Zugriffstoken-Informationen werden angezeigt.
1. Kopieren Sie im Dialogfeld **Automatische Bereitstellung für eingehende Nachrichten** den SCIM-Endpunkt und das Zugriffstoken. Sie müssen diese später einfügen, wenn Sie die Bereitstellung in Ihrem IdP konfigurieren.
1. **SCIM-Endpunkt** — Zum Beispiel https://scim. *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*
1. **Zugriffstoken — Wählen Sie Token anzeigen****, um den Wert zu kopieren.**
**Warnung**
Dies ist das einzige Mal, dass Sie den SCIM-Endpunkt und das Zugriffstoken abrufen können. Stellen Sie sicher, dass Sie diese Werte kopieren, bevor Sie fortfahren. Sie werden diese Werte eingeben, um die automatische Bereitstellung in Ihrem IdP später in diesem Tutorial zu konfigurieren.
1. Klicken Sie auf **Schließen**.
Nachdem Sie dieses Verfahren abgeschlossen haben, müssen Sie die automatische Bereitstellung in Ihrem IdP konfigurieren. Weitere Informationen finden Sie unter [Tutorials zu Identitätsquellen im IAM Identity Center](tutorials.md) Für Ihren IdP.
# Löschen Sie ein Zugriffstoken
Gehen Sie wie folgt vor, um ein vorhandenes Zugriffstoken in der IAM Identity Center-Konsole zu löschen.
**Um ein vorhandenes Zugriffstoken zu löschen**
1. Wählen Sie in der [IAM Identity Center-Konsole](https://console.aws.amazon.com/singlesignon) im linken Navigationsbereich **Einstellungen** aus.
1. Wählen Sie auf der Seite „**Einstellungen**“ die Registerkarte „**Identitätsquelle**“ und dann „**Aktionen“ > „Bereitstellung verwalten**“.
1. **Wählen Sie auf der Seite **Automatische Bereitstellung** unter **Zugriffstoken** das Zugriffstoken aus, das Sie löschen möchten, und wählen Sie dann Löschen aus.**
1. Überprüfen **Sie im Dialogfeld Zugriffstoken löschen** die Informationen, geben **Sie DELETE** ein, und wählen Sie dann **Zugriffstoken löschen** aus.
# Deaktivieren Sie die automatische Bereitstellung
Gehen Sie wie folgt vor, um die automatische Bereitstellung in der IAM Identity Center-Konsole zu deaktivieren.
**Wichtig**
Sie müssen das Zugriffstoken löschen, bevor Sie dieses Verfahren starten. Weitere Informationen finden Sie unter [Löschen Sie ein Zugriffstoken](delete-token.md).
**Um die automatische Bereitstellung in der IAM Identity Center-Konsole zu deaktivieren**
1. Wählen Sie in der [IAM Identity Center-Konsole](https://console.aws.amazon.com/singlesignon) im linken **Navigationsbereich Einstellungen** aus.
1. Wählen Sie auf der Seite „**Einstellungen**“ die Registerkarte „**Identitätsquelle**“ und dann „**Aktionen“ > „Bereitstellung verwalten**“.
1. **Wählen Sie auf der Seite **Automatische Bereitstellung** die Option Deaktivieren aus.**
1. Überprüfen **Sie im Dialogfeld Automatische Bereitstellung deaktivieren** die Informationen, geben **Sie DISABLE** ein, und wählen Sie dann **Automatische Bereitstellung deaktivieren** aus.
# Ein Zugriffstoken rotieren
Ein IAM Identity Center-Verzeichnis unterstützt bis zu zwei Zugriffstoken gleichzeitig. Um vor jeder Rotation ein zusätzliches Zugriffstoken zu generieren, löschen Sie alle abgelaufenen oder ungenutzten Zugriffstoken.
Wenn Ihr SCIM-Zugriffstoken bald abläuft, können Sie das folgende Verfahren verwenden, um ein vorhandenes Zugriffstoken in der IAM Identity Center-Konsole rotieren zu lassen.
**Um ein Zugriffstoken zu rotieren**
1. Wählen Sie in der [IAM Identity Center-Konsole](https://console.aws.amazon.com/singlesignon) im linken Navigationsbereich **Einstellungen** aus.
1. Wählen Sie auf der Seite „**Einstellungen**“ die Registerkarte „**Identitätsquelle**“ und dann „**Aktionen“ > „Bereitstellung verwalten**“.
1. Notieren Sie sich auf der Seite **Automatische Bereitstellung** unter **Zugriffstoken die Token-ID** des Tokens, das Sie rotieren möchten.
1. Folgen Sie den Schritten unter[Generieren Sie ein Zugriffstoken](generate-token.md), um ein neues Token zu erstellen. Wenn Sie bereits die maximale Anzahl von SCIM-Zugriffstoken erstellt haben, müssen Sie zunächst eines der vorhandenen Token löschen.
1. Rufen Sie die Website Ihres Identitätsanbieters auf und konfigurieren Sie das neue Zugriffstoken für die SCIM-Bereitstellung. Testen Sie dann die Konnektivität zum IAM Identity Center mithilfe des neuen SCIM-Zugriffstokens. Sobald Sie bestätigt haben, dass die Bereitstellung mit dem neuen Token erfolgreich funktioniert, fahren Sie mit dem nächsten Schritt in diesem Verfahren fort.
1. Folgen Sie den Schritten unter[Löschen Sie ein Zugriffstoken](delete-token.md), um das alte Zugriffstoken zu löschen, das Sie zuvor notiert haben. Sie können das Erstellungsdatum des Tokens auch als Hinweis dafür verwenden, welches Token entfernt werden soll.
# Automatisch bereitgestellte Ressourcen prüfen und abgleichen
Mit SCIM können Sie automatisch Benutzer, Gruppen und Gruppenmitgliedschaften aus Ihrer Identitätsquelle für IAM Identity Center bereitstellen. Dieses Handbuch hilft Ihnen dabei, diese Ressourcen zu überprüfen und abzugleichen, um eine korrekte Synchronisation zu gewährleisten.
## Warum sollten Sie Ihre Ressourcen prüfen?
Regelmäßige Prüfungen tragen dazu bei, dass Ihre Zugriffskontrollen korrekt bleiben und Ihr Identity Provider (IdP) ordnungsgemäß mit IAM Identity Center synchronisiert bleibt. Dies ist besonders wichtig für die Einhaltung von Sicherheitsbestimmungen und das Zugriffsmanagement.
Ressourcen, die Sie prüfen können:
+ Benutzer
+ Gruppen
+ Gruppenmitgliedschaften
Sie können AWS Identity Store [APIs](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/welcome.html)- oder [CLI-Befehle](https://docs.aws.amazon.com/cli/latest/reference/identitystore/) verwenden, um die Prüfung und den Abgleich durchzuführen. In den folgenden Beispielen AWS CLI werden Befehle verwendet. API-Alternativen finden Sie in den [entsprechenden Vorgängen](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_Operations.html) in der *Identity Store-API-Referenz*.
## Wie prüft man Ressourcen
Im Folgenden finden Sie Beispiele dafür, wie Sie diese Ressourcen mithilfe von AWS CLI Befehlen prüfen können.
Stellen Sie vor Beginn sicher, dass Sie über Folgendes verfügen:
+ Administratorzugriff auf IAM Identity Center.
+ AWS CLI installiert und konfiguriert. Weitere Informationen finden Sie im [https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html).
+ Erforderliche IAM-Berechtigungen für Identity Store-Befehle.
### Schritt 1: Aktuelle Ressourcen auflisten
Sie können Ihre aktuellen Ressourcen mit dem anzeigen AWS CLI.
**Anmerkung**
Wenn Sie den verwenden AWS CLI, erfolgt die Seitennummerierung automatisch, sofern Sie nichts anderes angeben`--no-paginate`. Wenn Sie die API direkt aufrufen (z. B. mit einem SDK oder einem benutzerdefinierten Skript), behandeln Sie das `NextToken` in der Antwort. Dadurch wird sichergestellt, dass Sie alle Ergebnisse auf mehreren Seiten abrufen.
**Example für Benutzer**
```
aws identitystore list-users \
--region REGION \
--identity-store-id IDENTITY_STORE_ID
```
**Example für Gruppen**
```
aws identitystore list-groups \
--region REGION \
--identity-store-id IDENTITY_STORE_ID
```
**Example für Gruppenmitgliedschaften**
```
aws identitystore list-group-memberships \
--region REGION \
--identity-store-id IDENTITY_STORE_ID
--group-id GROUP_ID
```
### Schritt 2: Mit Ihrer Identitätsquelle vergleichen
Vergleichen Sie die aufgelisteten Ressourcen mit Ihrer Identitätsquelle, um etwaige Unstimmigkeiten zu ermitteln, z. B.:
+ Fehlende Ressourcen, die in IAM Identity Center bereitgestellt werden sollten.
+ Zusätzliche Ressourcen, die aus IAM Identity Center entfernt werden sollten.
**Example für Benutzer**
```
# Create missing users
aws identitystore create-user \
--identity-store-id IDENTITY_STORE_ID \
--user-name USERNAME \
--display-name DISPLAY_NAME \
--name GivenName=FIRST_NAME,FamilyName=LAST_NAME \
--emails Value=EMAIL,Primary=true
# Delete extra users
aws identitystore delete-user \
--identity-store-id IDENTITY_STORE_ID \
--user-id USER_ID
```
**Example für Gruppen**
```
# Create missing groups
aws identitystore create-group \
--identity-store-id IDENTITY_STORE_ID \
[group attributes]
# Delete extra groups
aws identitystore delete-group \
--identity-store-id IDENTITY_STORE_ID \
--group-id GROUP_ID
```
**Example für Gruppenmitgliedschaften**
```
# Add missing members
aws identitystore create-group-membership \
--identity-store-id IDENTITY_STORE_ID \
--group-id GROUP_ID \
--member-id '{"UserId": "USER_ID"}'
# Remove extra members
aws identitystore delete-group-membership \
--identity-store-id IDENTITY_STORE_ID \
--membership-id MEMBERSHIP_ID
```
## Überlegungen
+ Befehle unterliegen [Dienstkontingenten und API-Drosselung](limits.md#ssothrottlelimits).
+ Wenn Sie beim Abgleich viele Unterschiede feststellen, nehmen Sie kleine, schrittweise Änderungen am AWS Identity Store vor. Auf diese Weise können Sie Fehler vermeiden, die mehrere Benutzer betreffen.
+ Die SCIM-Synchronisierung kann Ihre manuellen Änderungen außer Kraft setzen. Überprüfe deine IdP-Einstellungen, um dieses Verhalten zu verstehen.
## Manuelles Provisioning
Einige bieten IdPs keine SCIM-Unterstützung (System for Cross-Domain Identity Management) oder verfügen über eine inkompatible SCIM-Implementierung. In diesen Fällen können Sie Benutzer manuell über die IAM Identity Center-Konsole bereitstellen. Wenn Sie Benutzer zu IAM Identity Center hinzufügen, stellen Sie sicher, dass der Benutzername mit dem Benutzernamen identisch ist, den Sie in Ihrem IdP haben. Sie müssen mindestens eine eindeutige E-Mail-Adresse und einen eindeutigen Benutzernamen haben. Weitere Informationen finden Sie unter [Eindeutigkeit von Benutzername und E-Mail-Adresse](users-groups-provisioning.md#username-email-unique).
Außerdem müssen Sie alle Gruppen manuell in IAM Identity Center verwalten. Dazu erstellen Sie die Gruppen und fügen sie mithilfe der IAM Identity Center-Konsole hinzu. Diese Gruppen müssen nicht mit dem übereinstimmen, was in Ihrem IdP vorhanden ist. Weitere Informationen finden Sie unter [Gruppen](users-groups-provisioning.md#groups-concept).
# Wechseln Sie die SAML 2.0-Zertifikate
IAM Identity Center verwendet Zertifikate, um eine SAML-Vertrauensstellung zwischen IAM Identity Center und Ihrem externen Identitätsanbieter (IdP) einzurichten. Wenn Sie einen externen IdP in IAM Identity Center hinzufügen, müssen Sie außerdem mindestens ein öffentliches SAML 2.0 X.509-Zertifikat vom externen IdP beziehen. Dieses Zertifikat wird normalerweise automatisch während des IdP-SAML-Metadatenaustauschs während der Vertrauenserstellung installiert.
Als IAM Identity Center-Administrator müssen Sie gelegentlich ältere IdP-Zertifikate durch neuere ersetzen. Beispielsweise müssen Sie möglicherweise ein IdP-Zertifikat ersetzen, wenn sich das Ablaufdatum des Zertifikats nähert. Der Vorgang, bei dem ein älteres Zertifikat durch ein neueres ersetzt wird, wird als Zertifikatsrotation bezeichnet.
**Topics**
+ [Ein SAML 2.0-Zertifikat rotieren](rotatesamlcert.md)
+ [Indikatoren für den Ablaufstatus des Zertifikats](samlcertexpirationindicators.md)
# Ein SAML 2.0-Zertifikat rotieren
Möglicherweise müssen Sie Zertifikate regelmäßig importieren, um ungültige oder abgelaufene Zertifikate, die von Ihrem Identitätsanbieter ausgestellt wurden, rotieren zu lassen. Dies trägt dazu bei, Unterbrechungen oder Ausfallzeiten bei der Authentifizierung zu vermeiden. Alle importierten Zertifikate sind automatisch aktiv. Zertifikate sollten erst gelöscht werden, nachdem sichergestellt wurde, dass sie nicht mehr mit dem zugehörigen Identitätsanbieter verwendet werden.
Sie sollten auch berücksichtigen, dass einige Zertifikate IdPs möglicherweise nicht mehrere Zertifikate unterstützen. In diesem Fall IdPs kann die Rotation von Zertifikaten mit diesen Zertifikaten eine vorübergehende Unterbrechung des Dienstes für Ihre Benutzer bedeuten. Der Dienst wird wiederhergestellt, wenn das Vertrauen zu diesem IdP erfolgreich wiederhergestellt wurde. Planen Sie diesen Vorgang möglichst außerhalb der Spitzenzeiten sorgfältig.
**Anmerkung**
Aus Sicherheitsgründen sollten Sie bei Anzeichen einer Beeinträchtigung oder falschen Handhabung eines vorhandenen SAML-Zertifikats das Zertifikat sofort entfernen und rotieren lassen.
Die Rotation eines IAM Identity Center-Zertifikats ist ein mehrstufiger Prozess, der Folgendes umfasst:
+ Ein neues Zertifikat vom IdP erhalten
+ Das neue Zertifikat wird in das IAM Identity Center importiert
+ Aktivierung des neuen Zertifikats im IdP
+ Löschen des älteren Zertifikats
Verwenden Sie alle der folgenden Verfahren, um den Zertifikatsrotationsprozess abzuschließen und gleichzeitig Ausfallzeiten bei der Authentifizierung zu vermeiden.
**Schritt 1: Besorgen Sie sich ein neues Zertifikat vom IdP**
Gehen Sie zur IdP-Website und laden Sie ihr SAML 2.0-Zertifikat herunter. Stellen Sie sicher, dass die Zertifikatsdatei im PEM-codierten Format heruntergeladen wurde. Bei den meisten Anbietern können Sie mehrere SAML 2.0-Zertifikate im IdP erstellen. Es ist wahrscheinlich, dass diese als deaktiviert oder inaktiv markiert werden.
**Schritt 2: Importieren Sie das neue Zertifikat in IAM Identity Center**
Gehen Sie wie folgt vor, um das neue Zertifikat mithilfe der IAM Identity Center-Konsole zu importieren.
1. **Wählen Sie in der [IAM Identity Center-Konsole](https://console.aws.amazon.com/singlesignon) Einstellungen aus.**
1. Wählen Sie auf der Seite „**Einstellungen**“ die Registerkarte „**Identitätsquelle**“ und dann „**Aktionen“ > „Authentifizierung verwalten**“.
1. Wählen Sie auf der Seite **SAML 2.0-Zertifikate verwalten** die Option **Zertifikat importieren** aus.
1. Wählen Sie im Dialogfeld **SAML 2.0-Zertifikat importieren** die Option **Datei auswählen** aus, navigieren Sie zu Ihrer Zertifikatsdatei, wählen Sie sie aus und wählen Sie dann Zertifikat **importieren** aus.
Ab diesem Zeitpunkt vertraut IAM Identity Center allen eingehenden SAML-Nachrichten, die von beiden importierten Zertifikaten signiert wurden.
**Schritt 3: Aktivieren Sie das neue Zertifikat im IdP**
Gehen Sie zurück zur IdP-Website und markieren Sie das neue Zertifikat, das Sie zuvor erstellt haben, als primär oder aktiv. Zu diesem Zeitpunkt sollten alle vom IdP signierten SAML-Nachrichten das neue Zertifikat verwenden.
**Schritt 4: Löschen Sie das alte Zertifikat**
Gehen Sie wie folgt vor, um den Zertifikatsrotationsprozess für Ihren IdP abzuschließen. Es muss immer mindestens ein gültiges Zertifikat aufgeführt sein, das nicht entfernt werden kann.
**Anmerkung**
Stellen Sie sicher, dass Ihr Identitätsanbieter keine SAML-Antworten mehr mit diesem Zertifikat signiert, bevor Sie es löschen.
1. Wählen Sie auf der Seite **SAML 2.0-Zertifikate verwalten** das Zertifikat aus, das Sie löschen möchten. Wählen Sie **Löschen** aus.
1. **Geben **Sie im Dialogfeld SAML 2.0-Zertifikat löschen** **DELETE** zur Bestätigung den Text ein, und wählen Sie dann Löschen aus.**
1. Kehren Sie zur Website des IdP zurück und führen Sie die erforderlichen Schritte aus, um das ältere inaktive Zertifikat zu entfernen.
# Indikatoren für den Ablaufstatus des Zertifikats
Auf der Seite **SAML 2.0-Zertifikate verwalten** werden in der Spalte **Läuft ab** neben jedem Zertifikat in der Liste farbige Statusanzeigesymbole angezeigt. Im Folgenden werden die Kriterien beschrieben, anhand derer IAM Identity Center bestimmt, welches Symbol für jedes Zertifikat angezeigt wird.
+ **Rot** — Zeigt an, dass ein Zertifikat abgelaufen ist.
+ **Gelb** — Zeigt an, dass ein Zertifikat in 90 Tagen oder weniger abläuft.
+ **Grün** — Zeigt an, dass ein Zertifikat gültig ist und noch mindestens 90 Tage gültig bleibt.
**Um den aktuellen Status eines Zertifikats zu überprüfen**
1. Wählen Sie in der [IAM Identity Center-Konsole](https://console.aws.amazon.com/singlesignon) **Einstellungen** aus.
1. Wählen Sie auf der Seite „**Einstellungen**“ die Registerkarte „**Identitätsquelle**“ und dann „**Aktionen“ > „Authentifizierung verwalten**“.
1. Überprüfen **Sie auf der Seite SAML 2.0-Authentifizierung** **verwalten unter SAML 2.0-Zertifikate** verwalten den Status der Zertifikate in der Liste, wie in der Spalte **Läuft ab am** angegeben.