Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verwaltung Ihrer Identitätsquelle
Ihre Identitätsquelle in IAM Identity Center definiert, wo Ihre Benutzer und Gruppen verwaltet werden. Nachdem Sie Ihre Identitätsquelle konfiguriert haben, können Sie nach Benutzern oder Gruppen suchen, um ihnen Single Sign-On-Zugriff auf Anwendungen oder AWS-Konten beides zu gewähren.
Sie können pro Organisation nur eine Identitätsquelle haben. AWS Organizations Sie können eine der folgenden Optionen als Identitätsquelle wählen:
+ **[Externer Identitätsanbieter](manage-your-identity-source-idp.md) —** Wählen Sie diese Option, wenn Sie Benutzer in einem externen Identitätsanbieter (IdP) wie Okta oder Microsoft Entra ID verwalten möchten.
+ **[Ihr AWS lokales oder verwaltetes Active Directory](manage-your-identity-source-ad.md) —** Wählen Sie diese Option, wenn Sie Ihre Active Directory (AD) Verbindung herstellen möchten.
+ **[Identity Center-Verzeichnis](manage-your-identity-source-sso.md) —** Wenn Sie IAM Identity Center zum ersten Mal aktivieren, wird es automatisch mit einem Identity Center-Verzeichnis als Standard-Identitätsquelle konfiguriert, sofern Sie keine andere Identitätsquelle wählen. Mit dem Identity Center-Verzeichnis erstellen Sie Ihre Benutzer und Gruppen und weisen deren Zugriffsebene Ihren AWS-Konten Anwendungen zu.
**Anmerkung**
IAM Identity Center unterstützt SAMBA4 basiertes Simple AD nicht als Identitätsquelle.
**Topics**
+ [
# Überlegungen zur Änderung Ihrer Identitätsquelle
](manage-your-identity-source-considerations.md)
+ [
# Ändern Sie Ihre Identitätsquelle
](manage-your-identity-source-change.md)
+ [
# Unterstützte Benutzer- und Gruppenattribute in IAM Identity Center
](manage-your-identity-source-attribute-use.md)
+ [
# Externe Identitätsanbieter
](manage-your-identity-source-idp.md)
+ [
# Microsoft ADVerzeichnis
](manage-your-identity-source-ad.md)
# Überlegungen zur Änderung Ihrer Identitätsquelle
Sie können Ihre Identitätsquelle zwar jederzeit ändern, wir empfehlen Ihnen jedoch, darüber nachzudenken, wie sich diese Änderung auf Ihre aktuelle Bereitstellung auswirken könnte.
Wenn Sie bereits Benutzer und Gruppen in einer Identitätsquelle verwalten, werden durch den Wechsel zu einer anderen Identitätsquelle möglicherweise alle Benutzer- und Gruppenzuweisungen entfernt, die Sie in IAM Identity Center konfiguriert haben. In diesem Fall verlieren alle Benutzer, einschließlich des Administratorbenutzers in IAM Identity Center, den Single Sign-On-Zugriff auf ihre AWS-Konten Anwendungen.
Bevor Sie die Identitätsquelle für IAM Identity Center ändern, sollten Sie die folgenden Überlegungen überprüfen, bevor Sie fortfahren. Wenn Sie mit dem Ändern Ihrer Identitätsquelle fortfahren möchten, finden Sie [Ändern Sie Ihre Identitätsquelle](manage-your-identity-source-change.md) weitere Informationen unter.
## Wechseln zwischen dem IAM Identity Center-Verzeichnis und Active Directory
Wenn Sie bereits Benutzer und Gruppen in Active Directory verwalten, empfehlen wir, dass Sie erwägen, Ihr Verzeichnis zu verbinden, wenn Sie IAM Identity Center aktivieren und Ihre Identitätsquelle auswählen. Tun Sie dies, bevor Sie Benutzer und Gruppen im standardmäßigen Identity Center-Verzeichnis erstellen und Zuweisungen vornehmen.
**Wichtig**
Wenn Sie Ihren Identitätsquellentyp in IAM Identity Center zu oder von Active Directory ändern, beachten Sie, dass sich die Identity Store-ID ändert. Dies kann folgende Auswirkungen haben:
Ihre Standard-URL für das AWS Zugriffsportal wird sich ändern. Sie müssen die neue URL Ihren Mitarbeitern mitteilen und die Lesezeichen, Gatewall- oder Firewall-Zulassungslisten sowie Konfigurationen, in denen auf diese URL verwiesen wird, aktualisieren. Wir empfehlen Ihnen, diese Änderung in einem geplanten Wartungsfenster vorzunehmen, um Störungen für Ihre Benutzer so gering wie möglich zu halten.
Wenn Sie einen vom Kunden verwalteten KMS-Schlüssel für die Verschlüsselung im Ruhezustand in IAM Identity Center verwenden und die KMS-Schlüsselrichtlinie mit dem Verschlüsselungskontext konfiguriert haben, beachten Sie, dass sich der Verschlüsselungskontext für den Identity Store ändern wird. Im Identity Store-ARN „arn:aws:identitystore: :123456789012:identitystore/d-922763e9b3" ist „d-922763e9b3" beispielsweise die Identity Store-ID. Um Serviceunterbrechungen während dieser Umstellung zu vermeiden, ändern Sie Ihre KMS-Schlüsselrichtlinie vorübergehend so, dass sie ein Platzhaltermuster verwendet: „arn:aws:identitystore: :123456789012:identitystore/\$1“.
Wenn Sie bereits Benutzer und Gruppen im Identity Center-Standardverzeichnis verwalten, sollten Sie Folgendes beachten:
+ **Zuweisungen entfernt und Benutzer und Gruppen gelöscht** — Wenn Sie Ihre Identitätsquelle auf Active Directory ändern, werden Ihre Benutzer und Gruppen aus dem Identity Center-Verzeichnis gelöscht. Durch diese Änderung werden auch Ihre Zuweisungen entfernt. In diesem Fall müssen Sie nach dem Wechsel zu Active Directory Ihre Benutzer und Gruppen aus Active Directory mit dem Identity Center-Verzeichnis synchronisieren und dann ihre Zuweisungen erneut anwenden.
Wenn Sie Active Directory nicht verwenden möchten, müssen Sie Ihre Benutzer und Gruppen im Identity Center-Verzeichnis erstellen und dann Zuweisungen vornehmen.
+ **Zuweisungen werden nicht gelöscht, wenn Identitäten gelöscht werden** — Wenn Identitäten im Identity Center-Verzeichnis gelöscht werden, werden die entsprechenden Zuweisungen auch in IAM Identity Center gelöscht. Wenn in Active Directory Identitäten gelöscht werden (entweder in Active Directory oder in den synchronisierten Identitäten), werden die entsprechenden Zuweisungen jedoch nicht gelöscht.
+ **Keine ausgehende Synchronisierung für APIs** — Wenn Sie Active Directory als Identitätsquelle verwenden, empfehlen wir, die Optionen [Erstellen, Aktualisieren und](https://docs.aws.amazon.com/singlesignon/latest/APIReference/API_Operations.html) Löschen mit Vorsicht zu verwenden. APIs IAM Identity Center unterstützt keine ausgehende Synchronisation, sodass Ihre Identitätsquelle nicht automatisch mit den Änderungen aktualisiert wird, die Sie an Benutzern oder Gruppen vornehmen, die diese verwenden. APIs
+ Die **URL des Zugriffsportals wird sich ändern** — Wenn Sie Ihre Identitätsquelle zwischen IAM Identity Center und Active Directory ändern, ändert sich auch die URL für das AWS Zugriffsportal.
+ Wenn Benutzer in der IAM Identity Center-Konsole mithilfe von Identity Store gelöscht oder deaktiviert werden APIs, können Benutzer mit aktiven Sitzungen weiterhin auf integrierte Anwendungen und Konten zugreifen. Informationen zur Dauer der Authentifizierungssitzung und zum Benutzerverhalten finden Sie unter[Grundlegendes zu Authentifizierungssitzungen in IAM Identity Center](authconcept.md).
Informationen darüber, wie IAM Identity Center Benutzer und Gruppen bereitstellt, finden Sie unter[Microsoft ADVerzeichnis](manage-your-identity-source-ad.md).
## Wechsel von IAM Identity Center zu einem externen IdP
Wenn Sie Ihre Identitätsquelle von IAM Identity Center zu einem externen Identitätsanbieter (IdP) ändern, sollten Sie Folgendes beachten:
+ **Zuweisungen und Mitgliedschaften funktionieren mit korrekten Assertions** — Ihre Benutzerzuweisungen, Gruppenzuweisungen und Gruppenmitgliedschaften funktionieren weiterhin, solange der neue IdP die richtigen Assertions sendet (z. B. den SAML-Namen). IDs Diese Assertions müssen mit den Benutzernamen und Gruppen in IAM Identity Center übereinstimmen.
+ **Keine ausgehende Synchronisation** — IAM Identity Center unterstützt keine ausgehende Synchronisation, sodass Ihr externer IdP nicht automatisch mit Änderungen an Benutzern und Gruppen aktualisiert wird, die Sie in IAM Identity Center vornehmen.
+ **SCIM-Bereitstellung** — Wenn Sie die SCIM-Bereitstellung verwenden, werden Änderungen an Benutzern und Gruppen in Ihrem Identity Provider erst in IAM Identity Center übernommen, nachdem Ihr Identitätsanbieter diese Änderungen an IAM Identity Center gesendet hat. Siehe [Überlegungen zur Verwendung der automatischen Bereitstellung](provision-automatically.md#auto-provisioning-considerations).
+ **Rollback** — Sie können Ihre Identitätsquelle jederzeit wieder auf die Verwendung von IAM Identity Center zurücksetzen. Siehe [Wechsel von einem externen IdP zu IAM Identity Center](#changing-from-idp-and-idc).
+ **Bestehende Benutzersitzungen werden nach Ablauf der Sitzungsdauer gesperrt. Sobald Sie Ihre Identitätsquelle auf** einen externen Identitätsanbieter umgestellt haben, bleiben aktive Benutzersitzungen für den Rest der in der Konsole konfigurierten maximalen Sitzungsdauer bestehen. Wenn die Sitzungsdauer des AWS Access-Portals beispielsweise auf acht Stunden festgelegt ist und Sie die Identitätsquelle in der vierten Stunde geändert haben, bleiben aktive Benutzersitzungen für weitere vier Stunden bestehen. Informationen zum Widerrufen von Benutzersitzungen finden Sie unter[Aktive Sitzungen für Ihre Workforce-Benutzer anzeigen und beenden](end-active-sessions.md).
Wenn Benutzer in der IAM Identity Center-Konsole mithilfe von Identity Store gelöscht oder deaktiviert werden APIs, können Benutzer mit aktiven Sitzungen weiterhin auf integrierte Anwendungen und Konten zugreifen. Informationen zur Dauer der Authentifizierungssitzung und zum Benutzerverhalten finden Sie unter[Grundlegendes zu Authentifizierungssitzungen in IAM Identity Center](authconcept.md).
**Anmerkung**
Sie können Benutzersitzungen nicht von der IAM Identity Center-Konsole aus widerrufen, nachdem Sie den Benutzer gelöscht haben.
Informationen darüber, wie IAM Identity Center Benutzer und Gruppen bereitstellt, finden Sie unter. [Externe Identitätsanbieter](manage-your-identity-source-idp.md)
## Wechsel von einem externen IdP zu IAM Identity Center
Wenn Sie Ihre Identitätsquelle von einem externen Identitätsanbieter (IdP) zu IAM Identity Center ändern, sollten Sie Folgendes beachten:
+ IAM Identity Center behält alle Ihre Zuweisungen bei.
+ **Kennwortzurücksetzung erzwingen** — Benutzer, die Passwörter in IAM Identity Center hatten, können sich weiterhin mit ihren alten Passwörtern anmelden. Für Benutzer, die sich im externen IdP und nicht im IAM Identity Center befanden, muss ein Administrator ein Zurücksetzen des Passworts erzwingen.
+ **Bestehende Benutzersitzungen werden nach Ablauf der Sitzungsdauer gesperrt. Sobald Sie Ihre Identitätsquelle auf** IAM Identity Center ändern, bleiben aktive Benutzersitzungen für die verbleibende Dauer der in der Konsole konfigurierten maximalen Sitzungsdauer bestehen. Wenn die Dauer der AWS Access-Portal-Sitzung beispielsweise acht Stunden beträgt und Sie die Identitätsquelle in der vierten Stunde geändert haben, laufen aktive Benutzersitzungen weitere vier Stunden weiter. Informationen zum Widerrufen von Benutzersitzungen finden Sie unter[Aktive Sitzungen für Ihre Workforce-Benutzer anzeigen und beenden](end-active-sessions.md).
Wenn Benutzer in der IAM Identity Center-Konsole mithilfe von Identity Store gelöscht oder deaktiviert werden APIs, können Benutzer mit aktiven Sitzungen weiterhin auf integrierte Anwendungen und Konten zugreifen. Informationen zur Dauer der Authentifizierungssitzung und zum Benutzerverhalten finden Sie unter[Grundlegendes zu Authentifizierungssitzungen in IAM Identity Center](authconcept.md).
**Anmerkung**
Sie können Benutzersitzungen nicht mehr von der IAM Identity Center-Konsole aus widerrufen, nachdem Sie den Benutzer gelöscht haben.
+ **Unterstützung mehrerer Regionen** — Wenn Sie IAM Identity Center in weitere Regionen repliziert haben oder dies planen, müssen Sie einen externen Identitätsanbieter als Identitätsquelle verwenden. Weitere Informationen, einschließlich anderer Voraussetzungen, finden Sie unter. [Verwenden von IAM Identity Center für mehrere AWS-Regionen](multi-region-iam-identity-center.md)
Informationen darüber, wie IAM Identity Center Benutzer und Gruppen bereitstellt, finden Sie unter[Benutzer im Identity Center-Verzeichnis verwalten](manage-your-identity-source-sso.md).
## Von einem externen IdP zu einem anderen externen IdP wechseln
Wenn Sie bereits einen externen IdP als Identitätsquelle für IAM Identity Center verwenden und zu einem anderen externen IdP wechseln, sollten Sie Folgendes beachten:
+ **Aufgaben und Mitgliedschaften funktionieren mit den richtigen Assertions** — IAM Identity Center behält all Ihre Zuweisungen bei. Die Benutzerzuweisungen, Gruppenzuweisungen und Gruppenmitgliedschaften funktionieren weiterhin, solange der neue IdP die richtigen Assertions sendet (z. B. den SAML-Namen). IDs
Diese Assertionen müssen mit den Benutzernamen in IAM Identity Center übereinstimmen, wenn sich Ihre Benutzer über den neuen externen IdP authentifizieren.
+ **SCIM-Bereitstellung** — Wenn Sie SCIM für die Bereitstellung im IAM Identity Center verwenden, empfehlen wir Ihnen, die IdP-spezifischen Informationen in diesem Handbuch und die vom IdP bereitgestellte Dokumentation zu lesen, um sicherzustellen, dass der neue Anbieter Benutzer und Gruppen korrekt zuordnet, wenn SCIM aktiviert ist.
+ **Bestehende Benutzersitzungen werden nach Ablauf der Sitzungsdauer gesperrt — Sobald Sie Ihre Identitätsquelle auf** einen anderen externen Identitätsanbieter ändern, bleiben aktive Benutzersitzungen für die verbleibende Dauer der in der Konsole konfigurierten maximalen Sitzungsdauer bestehen. Wenn die Dauer der AWS Access-Portal-Sitzung beispielsweise acht Stunden beträgt und Sie die Identitätsquelle in der vierten Stunde geändert haben, bleiben aktive Benutzersitzungen für weitere vier Stunden bestehen. Informationen zum Widerrufen von Benutzersitzungen finden Sie unter[Aktive Sitzungen für Ihre Workforce-Benutzer anzeigen und beenden](end-active-sessions.md).
Wenn Benutzer in der IAM Identity Center-Konsole mithilfe von Identity Store gelöscht oder deaktiviert werden APIs, können Benutzer mit aktiven Sitzungen weiterhin auf integrierte Anwendungen und Konten zugreifen. Informationen zur Dauer der Authentifizierungssitzung und zum Benutzerverhalten finden Sie unter[Grundlegendes zu Authentifizierungssitzungen in IAM Identity Center](authconcept.md).
**Anmerkung**
Sie können Benutzersitzungen nicht von der IAM Identity Center-Konsole aus widerrufen, nachdem Sie den Benutzer gelöscht haben.
Informationen darüber, wie IAM Identity Center Benutzer und Gruppen bereitstellt, finden Sie unter. [Externe Identitätsanbieter](manage-your-identity-source-idp.md)
## Zwischen Active Directory und einem externen IdP wechseln
Wenn Sie Ihre Identitätsquelle von einem externen IdP zu Active Directory oder von Active Directory zu einem externen IdP ändern, sollten Sie Folgendes berücksichtigen:
+ **Benutzer, Gruppen und Zuweisungen werden gelöscht** — Alle Benutzer, Gruppen und Zuweisungen werden aus IAM Identity Center gelöscht. Weder im externen IdP noch in Active Directory sind Benutzer- oder Gruppeninformationen betroffen.
+ **Benutzer bereitstellen** — Wenn Sie zu einem externen IdP wechseln, müssen Sie IAM Identity Center für die Bereitstellung Ihrer Benutzer konfigurieren. Alternativ müssen Sie die Benutzer und Gruppen für den externen IdP manuell bereitstellen, bevor Sie Zuweisungen konfigurieren können.
+ **Zuweisungen und Gruppen erstellen** — Wenn Sie zu Active Directory wechseln, müssen Sie Zuweisungen mit den Benutzern und Gruppen erstellen, die sich in Ihrem Verzeichnis in Active Directory befinden.
+ Wenn Benutzer in der IAM Identity Center-Konsole mithilfe von Identity Store gelöscht oder deaktiviert werden APIs, können Benutzer mit aktiven Sitzungen weiterhin auf integrierte Anwendungen und Konten zugreifen. Informationen zur Dauer der Authentifizierungssitzung und zum Benutzerverhalten finden Sie unter[Grundlegendes zu Authentifizierungssitzungen in IAM Identity Center](authconcept.md).
+ **Unterstützung mehrerer Regionen** — Wenn Sie IAM Identity Center in weitere Regionen repliziert haben oder dies planen, müssen Sie einen externen Identitätsanbieter als Identitätsquelle verwenden. Weitere Informationen, einschließlich anderer Voraussetzungen, finden Sie unter. [Verwenden von IAM Identity Center für mehrere AWS-Regionen](multi-region-iam-identity-center.md)
Informationen darüber, wie IAM Identity Center Benutzer und Gruppen bereitstellt, finden Sie unter[Microsoft ADVerzeichnis](manage-your-identity-source-ad.md).
# Ändern Sie Ihre Identitätsquelle
Das folgende Verfahren beschreibt, wie Sie von einem Verzeichnis, das IAM Identity Center bereitstellt (das Identity Center-Standardverzeichnis), zu Active Directory oder einem externen Identitätsanbieter wechseln oder umgekehrt. Bevor Sie fortfahren, überprüfen Sie die Informationen unter[Überlegungen zur Änderung Ihrer Identitätsquelle](manage-your-identity-source-considerations.md). Um dieses Verfahren abzuschließen, benötigen Sie eine Organisationsinstanz von IAM Identity Center. Weitere Informationen finden Sie unter [Organisations- und Kontoinstanzen von IAM Identity Center](identity-center-instances.md).
**Warnung**
Je nach Ihrer aktuellen Bereitstellung werden durch diese Änderung alle Benutzer- und Gruppenzuweisungen entfernt, die Sie in IAM Identity Center konfiguriert haben. Durch diese Änderung werden auch die IAM-Rollen mit dem Berechtigungssatz aus Ihren entfernt. AWS-Konten Daher müssen Sie möglicherweise Ihre Ressourcenrichtlinien aktualisieren und sollten sicherstellen, dass dadurch Ihr Zugriff auf AWS KMS Schlüssel und Amazon EKS-Cluster nicht beeinträchtigt wird. Weitere Informationen hierzu finden Sie unter [Referenzieren von Berechtigungssätzen in Ressourcenrichtlinien, Amazon EKS-Cluster-Konfigurationszuordnungen und AWS KMS wichtigen Richtlinien](referencingpermissionsets.md).
In diesem Fall verlieren alle Benutzer und Gruppen, einschließlich des Administratorbenutzers in IAM Identity Center, den Single Sign-On-Zugriff auf ihre AWS-Konten Anwendungen.
**Um Ihre Identitätsquelle zu ändern**
1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).
1. Wählen Sie **Einstellungen** aus.
1. Wählen Sie auf der Seite **Einstellungen** den Tab **Identitätsquelle** aus. Wählen Sie **Aktionen** und dann **Identitätsquelle ändern** aus.
1. **Wählen Sie unter Identitätsquelle** auswählen die Quelle aus, zu der Sie wechseln möchten, und klicken Sie dann auf **Weiter**.
Wenn Sie zu Active Directory wechseln, wählen Sie das verfügbare Verzeichnis aus dem Menü auf der nächsten Seite aus.
**Wichtig**
Wenn Sie Ihre Identitätsquelle zu oder von Active Directory ändern, werden Benutzer und Gruppen aus dem Identity Center-Verzeichnis gelöscht. Durch diese Änderung werden auch alle Zuweisungen entfernt, die Sie in IAM Identity Center konfiguriert haben.
**Anmerkung**
Wenn Sie IAM Identity Center in weitere Regionen repliziert haben, können Sie Ihren Identitätsquellentyp nicht ändern. Sie können nur den aktuellen externen IdP durch einen anderen ersetzen. Um den Identitätsquellentyp zu ändern, müssen Sie zuerst alle zusätzlichen Regionen entfernen. Weitere Informationen finden Sie unter [Verwenden von IAM Identity Center für mehrere AWS-Regionen](multi-region-iam-identity-center.md).
Wenn Sie zu einem externen Identitätsanbieter wechseln, empfehlen wir Ihnen, die Schritte unter zu befolgen[Wie stelle ich eine Verbindung zu einem externen Identitätsanbieter her](how-to-connect-idp.md).
1. Nachdem Sie den Haftungsausschluss gelesen haben und bereit sind, fortzufahren, geben Sie **ACCEPT** ein.
1. Wählen Sie „**Identitätsquelle ändern**“. Wenn Sie Ihre Identitätsquelle auf Active Directory ändern, fahren Sie mit dem nächsten Schritt fort.
1. Wenn Sie Ihre Identitätsquelle auf Active Directory ändern, gelangen Sie zur Seite **Einstellungen**. Führen Sie auf der Seite **„Einstellungen**“ einen der folgenden Schritte aus:
+ Wählen Sie „**Geführte Installation starten“**. Informationen darüber, wie Sie den geführten Einrichtungsprozess abschließen, finden Sie unter[Geführte Einrichtung](manage-sync-configurable-ADsync.md#manage-sync-guided-setup-configurable-ADsync).
+ Wählen Sie im Abschnitt **Identitätsquelle** die Option **Aktionen** und anschließend **Synchronisierung verwalten aus, um Ihren *Synchronisierungsbereich*** und die Liste der zu synchronisierenden Benutzer und Gruppen zu konfigurieren.
# Unterstützte Benutzer- und Gruppenattribute in IAM Identity Center
Dieses Handbuch enthält eine Referenz zur Unterstützung von SCIM-Attributen im IAM Identity Center. Es listet auf, welche Benutzer- und Gruppenattribute aus der SCIM-Spezifikation im IAM Identity Center-Identitätsspeicher unterstützt werden, und identifiziert bestimmte Attribute und Unterattribute, die nicht unterstützt werden.
Attribute sind Informationen, die Ihnen helfen, einzelne Benutzer- oder Gruppenobjekte wie`name`, `email` oder zu definieren und zu identifizieren. `members` IAM Identity Center unterstützt die am häufigsten verwendeten Attribute sowohl durch manuelle Eingabe als auch durch automatische SCIM-Bereitstellung.
+ [Informationen zur SCIM-Spezifikation (System for Cross-Domain Identity Management) finden Sie unter /rfc7642. https://tools.ietf.org/html](https://tools.ietf.org/html/rfc7642)
+ Informationen zur manuellen und automatischen Bereitstellung finden Sie unter. [Bereitstellung, wenn Benutzer von einem externen IdP kommen](manage-your-identity-source-idp.md#provisioning-when-external-idp)
+ Informationen zur Attributzuweisung finden Sie unter[Attributzuordnungen zwischen dem IAM Identity Center und dem Verzeichnis externer Identitätsanbieter](attributemappingsconcept.md).
Da IAM Identity Center SCIM für Anwendungsfälle der automatischen Bereitstellung unterstützt, unterstützt das Identity Center-Verzeichnis mit einigen Ausnahmen dieselben Benutzer- und Gruppenattribute, die in der SCIM-Spezifikation aufgeführt sind. In den folgenden Abschnitten wird beschrieben, welche Attribute von IAM Identity Center nicht unterstützt werden.
## Benutzerobjekte werden nicht unterstützt
Alle Attribute aus dem SCIM-Benutzerschema ([https://tools.ietf.org/html/rfc7643 \$1section -8.3](https://tools.ietf.org/html/rfc7643#section-8.3)) werden im IAM Identity Center-Identitätsspeicher unterstützt, mit Ausnahme der folgenden:
+ `password`
+ `ims`
+ `photos`
+ `entitlements`
+ `x509Certificates`
Alle Unterattribute für Benutzer werden unterstützt, mit Ausnahme der folgenden:
+ `'display'`Unterattribut eines beliebigen Attributs mit mehreren Werten (z. B. oder) `emails` `phoneNumbers`
+ `'version'`Unterattribut eines Attributs `'meta'`
## Gruppenobjekte werden nicht unterstützt
Alle Attribute aus dem SCIM-Gruppenschema ([https://tools.ietf.org/html/rfc7643 \$1section](https://tools.ietf.org/html/rfc7643#section-8.4) -8.4) werden unterstützt.
Alle Unterattribute für Gruppen werden unterstützt, mit Ausnahme der folgenden:
+ `'display'`Unterattribut eines beliebigen Attributs mit mehreren Werten (z. B. Mitglieder).
# Externe Identitätsanbieter
Mit IAM Identity Center können Sie Ihre vorhandenen Personalidentitäten von externen Identitätsanbietern (IdPs) über die Protokolle Security Assertion Markup Language (SAML) 2.0 und System for Cross-Domain Identity Management (SCIM) verbinden. Auf diese Weise können sich Ihre Benutzer mit ihren Unternehmensanmeldedaten beim Access Portal anmelden. AWS Sie können dann zu den ihnen zugewiesenen Konten, Rollen und Anwendungen navigieren, die auf einem externen Server gehostet IdPs werden.
Sie können beispielsweise einen externen IdP wie Okta oder Microsoft Entra ID mit dem IAM Identity Center verbinden. Ihre Benutzer können sich dann mit ihren vorhandenen AWS Zugangsdaten Okta oder Microsoft Entra ID Anmeldedaten beim Zugriffsportal anmelden. Um zu kontrollieren, was Ihre Benutzer nach der Anmeldung tun können, können Sie ihnen zentral Zugriffsberechtigungen für alle Konten und Anwendungen in Ihrer AWS Organisation zuweisen. Darüber hinaus können sich Entwickler einfach mit ihren vorhandenen Anmeldeinformationen bei AWS Command Line Interface (AWS CLI) anmelden und von der automatischen kurzfristigen Generierung und Rotation von Anmeldeinformationen profitieren.
Wenn Sie ein selbstverwaltetes Verzeichnis in Active Directory oder einem anderen verwenden AWS Managed Microsoft AD, finden Sie weitere Informationen unter. [Microsoft ADVerzeichnis](manage-your-identity-source-ad.md)
**Anmerkung**
Das SAML-Protokoll bietet keine Möglichkeit, den IdP abzufragen, um mehr über Benutzer und Gruppen zu erfahren. Daher müssen Sie IAM Identity Center auf diese Benutzer und Gruppen aufmerksam machen, indem Sie sie in IAM Identity Center bereitstellen.
## Bereitstellung, wenn Benutzer von einem externen IdP kommen
Wenn Sie einen externen IdP verwenden, müssen Sie alle entsprechenden Benutzer und Gruppen in IAM Identity Center bereitstellen, bevor Sie Zuweisungen zu AWS-Konten unseren Anwendungen vornehmen können. Dazu können Sie [Stellen Sie Benutzer und Gruppen von einem externen Identitätsanbieter mithilfe von SCIM bereit](provision-automatically.md) für Ihre Benutzer und Gruppen konfigurieren oder verwenden. [Manuelles Provisioning](provision-automatically.md#provision-manually) Unabhängig davon, wie Sie Benutzer bereitstellen, leitet IAM Identity Center die AWS-Managementkonsole Befehlszeilenschnittstelle und die Anwendungsauthentifizierung an Ihren externen IdP weiter. IAM Identity Center gewährt dann Zugriff auf diese Ressourcen auf der Grundlage der Richtlinien, die Sie in IAM Identity Center erstellen. Weitere Informationen zur Bereitstellung finden Sie unter. [Bereitstellung von Benutzern und Gruppen](users-groups-provisioning.md#user-group-provision)
**Topics**
+ [
## Bereitstellung, wenn Benutzer von einem externen IdP kommen
](#provisioning-when-external-idp)
+ [
# Wie stelle ich eine Verbindung zu einem externen Identitätsanbieter her
](how-to-connect-idp.md)
+ [
# Wie ändere ich die Metadaten eines externen Identitätsanbieters in IAM Identity Center
](how-to-change-idp-metadata.md)
+ [
# Verwenden des SAML- und SCIM-Identitätsverbunds mit externen Identitätsanbietern
](other-idps.md)
+ [
# SCIM-Profil und SAML 2.0-Implementierung
](scim-profile-saml.md)
# Wie stelle ich eine Verbindung zu einem externen Identitätsanbieter her
Für die unterstützten externen IdPs Geräte gelten unterschiedliche Voraussetzungen, Überlegungen und Bereitstellungsverfahren. Für mehrere IdPs sind step-by-step Tutorials verfügbar:
+ [CyberArk](cyberark-idp.md)
+ [Google Workspace](gs-gwp.md)
+ [JumpCloud](jumpcloud-idp.md)
+ [Microsoft Entra ID](idp-microsoft-entra.md)
+ [Okta](gs-okta.md)
+ [OneLogin](onelogin-idp.md)
+ [Ping-Identität](pingidentity.md)
Weitere Informationen zu den Überlegungen für externe Geräte IdPs , die IAM Identity Center unterstützt, finden Sie unter[Verwenden des SAML- und SCIM-Identitätsverbunds mit externen Identitätsanbietern](other-idps.md).
Das folgende Verfahren bietet einen allgemeinen Überblick über das Verfahren, das bei allen externen Identitätsanbietern verwendet wird.
**So stellen Sie eine Verbindung zu einem externen Identitätsanbieter her**
1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).
1. Wählen Sie **Einstellungen** aus.
1. Wählen Sie auf der Seite „**Einstellungen**“ die Registerkarte „**Identitätsquelle**“ und dann „**Aktionen“ > „Identitätsquelle ändern**“.
1. **Wählen Sie unter Identitätsquelle** auswählen die Option **Externer Identitätsanbieter** und dann **Weiter** aus.
1. Gehen **Sie unter Externen Identitätsanbieter konfigurieren** wie folgt vor:
1. Wählen Sie unter **Metadaten des Dienstanbieters** die Option **Metadatendatei** herunterladen aus, um die Metadatendatei herunterzuladen und auf Ihrem System zu speichern. Die SAML-Metadatendatei von IAM Identity Center wird von Ihrem externen Identitätsanbieter benötigt.
**Anmerkung**
Die SAML-Metadatendatei, die Sie herunterladen, enthält sowohl den IPv4 reinen Assertion Consumer Service (ACS) als auch den Dual-Stack-Assertion Consumer Service. URLs Wenn Ihr IAM Identity Center in weitere Regionen repliziert wird, enthält die Metadatendatei außerdem ACS für jede weitere Region. URLs Wenn Ihr externer IdP ein Limit für die Anzahl der ACS hat URLs, müssen Sie das nicht benötigte ACS URLs entfernen. Wenn Ihr Unternehmen beispielsweise vollständig auf IP4v Dual-Stack-Endgeräte umgestellt hat und keine reinen Endgeräte mehr verwendet, können Sie letztere entfernen. Ein alternativer Ansatz besteht darin, die Metadatendatei nicht zu verwenden, sondern den ACS zu kopieren und URLs in den externen IdP einzufügen.
1. Wählen Sie unter **Metadaten des Identitätsanbieters** die **Option Datei auswählen** aus und suchen Sie die Metadatendatei, die Sie von Ihrem externen Identitätsanbieter heruntergeladen haben. Laden Sie dann die Datei hoch. Diese Metadatendatei enthält das erforderliche öffentliche x509-Zertifikat, das verwendet wird, um Nachrichten zu vertrauen, die vom IdP gesendet werden.
1. Wählen Sie **Weiter** aus.
**Wichtig**
Wenn Sie Ihre Quelle zu oder von Active Directory ändern, werden alle vorhandenen Benutzer- und Gruppenzuweisungen entfernt. Sie müssen die Zuweisungen manuell erneut anwenden, nachdem Sie Ihre Quelle erfolgreich geändert haben.
1. Nachdem Sie den Haftungsausschluss gelesen haben und bereit sind, fortzufahren, geben Sie **ACCEPT** ein.
1. Wählen Sie „**Identitätsquelle ändern**“. In einer Statusmeldung werden Sie darüber informiert, dass Sie die Identitätsquelle erfolgreich geändert haben.
# Wie ändere ich die Metadaten eines externen Identitätsanbieters in IAM Identity Center
Sie können die Metadaten Ihres externen Identitätsanbieters ändern, die Sie zuvor an das IAM Identity Center übermittelt haben. Diese Änderungen wirken sich auf die Fähigkeit Ihrer Benutzer aus, sich über IAM Identity Center anzumelden und auf AWS Ressourcen zuzugreifen. Im folgenden Verfahren wird beschrieben, wie Sie die Metadaten Ihres externen IdP aktualisieren, die im IAM Identity Center gespeichert sind. Um dieses Verfahren abzuschließen, benötigen Sie eine Organisationsinstanz von IAM Identity Center. Weitere Informationen finden Sie unter [Organisations- und Kontoinstanzen von IAM Identity Center](identity-center-instances.md).
**Um die Metadaten eines externen Identitätsanbieters zu ändern**
1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).
1. Wählen Sie **Einstellungen** aus.
1. Wählen Sie auf der Seite **Einstellungen** die Registerkarte **Identitätsquelle** aus. Wählen Sie „**Aktionen**“ und dann „**Authentifizierung verwalten**“.
1. Wählen Sie im Abschnitt **Metadaten des Identitätsanbieters** die Option **IdP-Metadaten bearbeiten** aus. Auf dieser Seite können Sie die Änderungen an der IdP-Anmelde-URL und/oder der IdP-Aussteller-URL für Ihren externen IdP vornehmen. Wählen Sie **Änderungen speichern**, wenn Sie alle erforderlichen Änderungen vorgenommen haben.
# Verwenden des SAML- und SCIM-Identitätsverbunds mit externen Identitätsanbietern
IAM Identity Center implementiert die folgenden standardbasierten Protokolle für den Identitätsverbund:
+ SAML 2.0 für die Benutzerauthentifizierung
+ SCIM für die Bereitstellung
Von jedem Identitätsanbieter (IdP), der diese Standardprotokolle implementiert, wird erwartet, dass er erfolgreich mit IAM Identity Center zusammenarbeitet, wobei die folgenden besonderen Überlegungen zu beachten sind:
+ **SAML**
+ IAM Identity Center erfordert ein SAML-NameID-Format für die E-Mail-Adresse (d. h.). `urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress`
+ [Der Wert des Felds NameID in Assertionen muss eine RFC 2822 ([https://tools.ietf.org/html/rfc2822) adressspezifikationskonforme („“) Zeichenfolge (/rfc2822 \$1section](https://tools.ietf.org/html/rfc2822) -3.4.1) sein. `name@domain.com` https://tools.ietf.org/html](https://tools.ietf.org/html/rfc2822#section-3.4.1)
+ Die Metadatendatei darf nicht mehr als 75000 Zeichen enthalten.
+ Die Metadaten müssen eine EntityID und ein X509-Zertifikat enthalten und Teil der SingleSignOnService Anmelde-URL sein.
+ Ein Verschlüsselungsschlüssel wird nicht unterstützt.
+ IAM Identity Center unterstützt nicht das Signieren von SAML-Authentifizierungsanforderungen, die es an externe Empfänger sendet. IdPs
+ Der IdP muss den Multiple Assertion Consumer Service (ACS) unterstützen, URLs wenn Sie planen, IAM Identity Center in weitere Regionen zu replizieren und die Vorteile eines IAM Identity Center mit mehreren Regionen voll auszuschöpfen. Weitere Informationen finden Sie unter [Verwenden von IAM Identity Center für mehrere AWS-Regionen](multi-region-iam-identity-center.md). Die Verwendung einer einzigen ACS-URL kann sich auf die Benutzererfahrung in weiteren Regionen auswirken. Ihre Hauptregion wird weiterhin normal funktionieren. Weitere Informationen zur Benutzererfahrung in weiteren Regionen mit einer einzigen ACS-URL finden Sie unter [Verwendung AWS verwalteter Anwendungen ohne mehrere ACS URLs](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls) und[AWS-Konto Ausfallsicherheit beim Zugriff ohne mehrere ACS URLs](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url).
+ **SCIM**
+ [Die SCIM-Implementierung von IAM Identity Center basiert auf SCIM RFCs 7642 ([https://tools.ietf.org/html/rfc7642), 7643 (/rfc7643](https://tools.ietf.org/html/rfc7642)) und 7644 ([https://tools.ietf.org/html/rfc7644](https://tools.ietf.org/html/rfc7643)) sowie den Interoperabilitätsanforderungen, die im Entwurf des Basic SCIM Profile 1.0 vom März 2020 (\$1rfc [https://tools.ietf.org/html.section.4](https://tools.ietf.org/html/rfc7644)) dargelegt wurden. FastFed https://openid.net/specs/fastfed-scim-1\$10-02.html](https://openid.net/specs/fastfed-scim-1_0-02.html#rfc.section.4) Alle Unterschiede zwischen diesen Dokumenten und der aktuellen Implementierung in IAM Identity Center werden im Abschnitt [Unterstützte API-Operationen](https://docs.aws.amazon.com/singlesignon/latest/developerguide/supported-apis.html) des *IAM Identity Center SCIM Implementation Developer Guide* beschrieben.
IdPs die nicht den oben genannten Standards und Überlegungen entsprechen, werden nicht unterstützt. Bitte wenden Sie sich an Ihren IdP, wenn Sie Fragen oder Erläuterungen zur Konformität seiner Produkte mit diesen Standards und Überlegungen haben.
Wenn Sie Probleme haben, Ihren IdP mit dem IAM Identity Center zu verbinden, empfehlen wir Ihnen, Folgendes zu überprüfen:
+ AWS CloudTrail **protokolliert, indem Sie nach dem Ereignisnamen Login filtern ExternalId PDirectory**
+ IDP-spezifische Protokolle Debug-Protokolle and/or
+ [Behebung von Problemen mit IAM Identity Center](troubleshooting.md)
**Anmerkung**
Einige IdPs, wie die in der[Tutorials zu Identitätsquellen im IAM Identity Center](tutorials.md), bieten eine vereinfachte Konfiguration für IAM Identity Center in Form einer „Anwendung“ oder eines „Connectors“, die speziell für IAM Identity Center entwickelt wurden. Wenn Ihr IdP diese Option anbietet, empfehlen wir Ihnen, sie zu verwenden. Achten Sie darauf, den Artikel auszuwählen, der speziell für IAM Identity Center entwickelt wurde. Andere Elemente, die als „AWS“, „AWS Federation“ oder ähnliche generische "AWS" Namen bezeichnet werden, verwenden möglicherweise and/or Endpunkte mit anderen Verbundansätzen und funktionieren möglicherweise nicht wie erwartet mit IAM Identity Center.
# SCIM-Profil und SAML 2.0-Implementierung
Sowohl SCIM als auch SAML sind wichtige Überlegungen bei der Konfiguration von IAM Identity Center.
## SAML 2.0-Implementierung
IAM Identity Center unterstützt den Identitätsverbund mit [SAML (Security Assertion Markup](https://wiki.oasis-open.org/security) Language) 2.0. Dadurch kann IAM Identity Center Identitäten von externen Identitätsanbietern authentifizieren (). IdPs SAML 2.0 ist ein offener Standard, der für den sicheren Austausch von SAML-Assertionen verwendet wird. SAML 2.0 überträgt Informationen über einen Benutzer zwischen einer SAML-Behörde (als Identitätsanbieter oder IdP bezeichnet) und einem SAML-Verbraucher (als Service Provider oder SP bezeichnet). Der IAM Identity Center-Dienst verwendet diese Informationen, um föderiertes Single Sign-On bereitzustellen. Single Sign-On ermöglicht Benutzern den Zugriff auf AWS-Konten und die Konfiguration von Anwendungen auf der Grundlage ihrer vorhandenen Identity Provider-Anmeldeinformationen.
IAM Identity Center erweitert Ihren IAM Identity Center-Shop oder einen externen Identitätsanbieter um SAML-IdP-Funktionen. AWS Managed Microsoft AD Benutzer können sich dann per Single Sign-On bei Diensten anmelden, die SAML unterstützen, einschließlich Anwendungen AWS-Managementkonsole und Drittanbieteranwendungen wie, und. Microsoft 365 Concur Salesforce
Das SAML-Protokoll bietet jedoch keine Möglichkeit, den IdP abzufragen, um mehr über Benutzer und Gruppen zu erfahren. Daher müssen Sie IAM Identity Center auf diese Benutzer und Gruppen aufmerksam machen, indem Sie sie in IAM Identity Center bereitstellen.
## SCIM-Profil
IAM Identity Center unterstützt den Standard System for Cross-Domain Identity Management (SCIM) v2.0. SCIM synchronisiert Ihre IAM Identity Center-Identitäten mit den Identitäten Ihres IdP. Dies beinhaltet jegliche Bereitstellung, Aktualisierung und Deprovisionierung von Benutzern zwischen Ihrem IdP und IAM Identity Center.
Weitere Informationen zur Implementierung von SCIM finden Sie unter. [Stellen Sie Benutzer und Gruppen von einem externen Identitätsanbieter mithilfe von SCIM bereit](provision-automatically.md) Weitere Informationen zur SCIM-Implementierung von IAM Identity Center finden Sie im [IAM Identity Center SCIM](https://docs.aws.amazon.com/singlesignon/latest/developerguide/what-is-scim.html) Implementation Developer Guide.
**Topics**
+ [
## SAML 2.0-Implementierung
](#samlfederationconcept)
+ [
## SCIM-Profil
](#scim-profile)
+ [
# Stellen Sie Benutzer und Gruppen von einem externen Identitätsanbieter mithilfe von SCIM bereit
](provision-automatically.md)
+ [
# Wechseln Sie die SAML 2.0-Zertifikate
](managesamlcerts.md)
# Stellen Sie Benutzer und Gruppen von einem externen Identitätsanbieter mithilfe von SCIM bereit
IAM Identity Center unterstützt die automatische Bereitstellung (Synchronisation) von Benutzer- und Gruppeninformationen von Ihrem Identity Provider (IdP) in IAM Identity Center mithilfe des Systems for Cross-Domain Identity Management (SCIM) v2.0-Protokoll. Wenn Sie die SCIM-Synchronisierung konfigurieren, erstellen Sie eine Zuordnung Ihrer Identity Provider (IdP) -Benutzerattribute zu den benannten Attributen in IAM Identity Center. Dadurch stimmen die erwarteten Attribute zwischen IAM Identity Center und Ihrem IdP überein. Sie konfigurieren diese Verbindung in Ihrem IdP mithilfe Ihres SCIM-Endpunkts für IAM Identity Center und eines Bearer-Tokens, das Sie in IAM Identity Center erstellen.
**Topics**
+ [
## Überlegungen zur Verwendung der automatischen Bereitstellung
](#auto-provisioning-considerations)
+ [
## Wie überwacht man den Ablauf des Zugriffstokens
](#access-token-expiry)
+ [
# Generieren Sie ein Zugriffstoken
](generate-token.md)
+ [
# Aktivieren Sie die automatische Bereitstellung
](how-to-with-scim.md)
+ [
# Löschen Sie ein Zugriffstoken
](delete-token.md)
+ [
# Deaktivieren Sie die automatische Bereitstellung
](disable-provisioning.md)
+ [
# Ein Zugriffstoken rotieren
](rotate-token.md)
+ [
# Automatisch bereitgestellte Ressourcen prüfen und abgleichen
](reconcile-auto-provisioning.md)
+ [
## Manuelles Provisioning
](#provision-manually)
## Überlegungen zur Verwendung der automatischen Bereitstellung
Bevor Sie mit der Bereitstellung von SCIM beginnen, empfehlen wir Ihnen, zunächst die folgenden wichtigen Überlegungen zur Funktionsweise von SCIM mit IAM Identity Center zu lesen. Weitere Überlegungen zur Bereitstellung finden Sie in den für Ihren IdP [Tutorials zu Identitätsquellen im IAM Identity Center](tutorials.md) geltenden Bestimmungen.
+ Wenn Sie eine primäre E-Mail-Adresse bereitstellen, muss dieser Attributwert für jeden Benutzer eindeutig sein. In einigen IdPs Fällen ist die primäre E-Mail-Adresse möglicherweise keine echte E-Mail-Adresse. Beispielsweise könnte es sich um einen Universal Principal Name (UPN) handeln, der nur wie eine E-Mail aussieht. Diese IdPs können eine sekundäre oder „andere“ E-Mail-Adresse haben, die die tatsächliche E-Mail-Adresse des Benutzers enthält. Sie müssen SCIM in Ihrem IdP so konfigurieren, dass die eindeutige E-Mail-Adresse ungleich NULL dem primären E-Mail-Adressattribut von IAM Identity Center zugeordnet wird. Und Sie müssen die eindeutige Anmelde-ID des Benutzers, die nicht NULL ist, dem Benutzernamenattribut von IAM Identity Center zuordnen. Prüfen Sie, ob Ihr IdP einen einzigen Wert hat, der sowohl die Anmelde-ID als auch den E-Mail-Namen des Benutzers ist. Wenn ja, können Sie dieses IdP-Feld sowohl der primären IAM Identity Center-E-Mail-Adresse als auch dem IAM Identity Center-Benutzernamen zuordnen.
+ Damit die SCIM-Synchronisierung funktioniert, müssen für jeden Benutzer die Werte **Vorname, **Nachname****, **Benutzername** und **Anzeigename** angegeben werden. Wenn einer dieser Werte bei einem Benutzer fehlt, wird diesem Benutzer keine Provisionierung zugewiesen.
+ Wenn Sie Anwendungen von Drittanbietern verwenden müssen, müssen Sie zunächst das Betreffattribut für ausgehende SAML dem Benutzernamenattribut zuordnen. Wenn die Drittanbieteranwendung eine routbare E-Mail-Adresse benötigt, müssen Sie Ihrem IdP das E-Mail-Attribut zur Verfügung stellen.
+ Die SCIM-Bereitstellungs- und Aktualisierungsintervalle werden von Ihrem Identitätsanbieter gesteuert. Änderungen an Benutzern und Gruppen in Ihrem Identity Provider werden erst in IAM Identity Center übernommen, nachdem Ihr Identity Provider diese Änderungen an IAM Identity Center gesendet hat. Einzelheiten zur Häufigkeit von Benutzer- und Gruppenaktualisierungen erhalten Sie bei Ihrem Identitätsanbieter.
+ Derzeit werden mehrwertige Attribute (wie mehrere E-Mails oder Telefonnummern für einen bestimmten Benutzer) nicht mit SCIM bereitgestellt. Versuche, mehrwertige Attribute mit SCIM mit IAM Identity Center zu synchronisieren, schlagen fehl. Um Fehler zu vermeiden, stellen Sie sicher, dass für jedes Attribut nur ein einziger Wert übergeben wird. Wenn Sie Benutzer mit mehrwertigen Attributen haben, entfernen oder ändern Sie die doppelten Attributzuordnungen in SCIM bei Ihrem IdP für die Verbindung zum IAM Identity Center.
+ Stellen Sie sicher, dass die `externalId` SCIM-Zuordnung bei Ihrem IdP einem Wert entspricht, der eindeutig und immer vorhanden ist und sich für Ihre Benutzer am wenigsten ändert. Beispielsweise kann Ihr IdP eine garantierte `objectId` oder eine andere Kennung bereitstellen, auf die sich Änderungen an Benutzerattributen wie Name und E-Mail nicht auswirken. Wenn ja, können Sie diesen Wert dem `externalId` SCIM-Feld zuordnen. Dadurch wird sichergestellt, dass Ihre Benutzer keine AWS Berechtigungen, Zuweisungen oder Berechtigungen verlieren, wenn Sie ihren Namen oder ihre E-Mail-Adresse ändern müssen.
+ Benutzer, denen noch keine Anwendung zugewiesen wurde oder denen AWS-Konto keine Bereitstellung für IAM Identity Center möglich ist. Um Benutzer und Gruppen zu synchronisieren, stellen Sie sicher, dass sie der Anwendung oder einem anderen Setup zugewiesen sind, das die Verbindung Ihres IdP zum IAM Identity Center darstellt.
+ Das Verhalten bei der Deprovisionierung von Benutzern wird vom Identitätsanbieter verwaltet und kann je nach Implementierung variieren. Einzelheiten zur Deprovisionierung von Benutzern erhalten Sie bei Ihrem Identitätsanbieter.
+ Nachdem Sie die automatische Bereitstellung mit SCIM für Ihren IdP eingerichtet haben, können Sie in der IAM Identity Center-Konsole keine Benutzer mehr hinzufügen oder bearbeiten. Wenn Sie einen Benutzer hinzufügen oder ändern müssen, müssen Sie dies von Ihrem externen IdP oder Ihrer Identitätsquelle aus tun.
Weitere Informationen zur SCIM-Implementierung von IAM Identity Center finden Sie im [IAM Identity Center SCIM](https://docs.aws.amazon.com/singlesignon/latest/developerguide/what-is-scim.html) Implementation Developer Guide.
## Wie überwacht man den Ablauf des Zugriffstokens
SCIM-Zugriffstoken werden mit einer Gültigkeit von einem Jahr generiert. Wenn Ihr SCIM-Zugriffstoken so eingestellt ist, dass es in 90 Tagen oder weniger abläuft, AWS sendet es Ihnen in der IAM Identity Center-Konsole und über das AWS Health Dashboard Erinnerungen, damit Sie das Token wechseln können. Indem Sie das SCIM-Zugriffstoken rotieren, bevor es abläuft, stellen Sie kontinuierlich die automatische Bereitstellung von Benutzer- und Gruppeninformationen sicher. Wenn das SCIM-Zugriffstoken abläuft, wird die Synchronisation von Benutzer- und Gruppeninformationen von Ihrem Identitätsanbieter mit dem IAM Identity Center beendet, sodass bei der automatischen Bereitstellung keine Aktualisierungen mehr vorgenommen oder Informationen erstellt und gelöscht werden können. Eine Unterbrechung der automatischen Bereitstellung kann zu erhöhten Sicherheitsrisiken führen und den Zugriff auf Ihre Dienste beeinträchtigen.
Die Erinnerungen der Identity Center-Konsole bleiben bestehen, bis Sie das SCIM-Zugriffstoken rotieren und alle ungenutzten oder abgelaufenen Zugriffstoken löschen. Die AWS Health Dashboard-Ereignisse werden wöchentlich zwischen 90 und 60 Tagen, zweimal pro Woche zwischen 60 und 30 Tagen, dreimal pro Woche zwischen 30 und 15 Tagen und täglich zwischen 15 Tagen, bis die SCIM-Zugriffstoken ablaufen, erneuert.
# Generieren Sie ein Zugriffstoken
Gehen Sie wie folgt vor, um ein neues Zugriffstoken in der IAM Identity Center-Konsole zu generieren.
**Anmerkung**
Für dieses Verfahren müssen Sie zuvor die automatische Bereitstellung aktiviert haben. Weitere Informationen finden Sie unter [Aktivieren Sie die automatische Bereitstellung](how-to-with-scim.md).
**Um ein neues Zugriffstoken zu generieren**
1. Wählen Sie in der [IAM Identity Center-Konsole](https://console.aws.amazon.com/singlesignon) im linken Navigationsbereich **Einstellungen** aus.
1. Wählen Sie auf der Seite „**Einstellungen**“ die Registerkarte „**Identitätsquelle**“ und dann „**Aktionen“ > „Bereitstellung verwalten**“.
1. Wählen Sie auf der Seite **Automatische Bereitstellung** unter **Zugriffstoken die Option Token** **generieren** aus.
1. Kopieren **Sie im Dialogfeld Neues Zugriffstoken generieren** das neue Zugriffstoken und speichern Sie es an einem sicheren Ort.
1. Klicken Sie auf **Schließen**.
# Aktivieren Sie die automatische Bereitstellung
Gehen Sie wie folgt vor, um die automatische Bereitstellung von Benutzern und Gruppen von Ihrem IdP an das IAM Identity Center mithilfe des SCIM-Protokolls zu aktivieren.
**Anmerkung**
Bevor Sie mit diesem Verfahren beginnen, empfehlen wir Ihnen, zunächst die Überlegungen zur Bereitstellung zu überprüfen, die für Ihren IdP gelten. Weitere Informationen finden Sie unter [Tutorials zu Identitätsquellen im IAM Identity Center](tutorials.md) Für Ihren IdP.
**Um die automatische Bereitstellung im IAM Identity Center zu aktivieren**
1. Nachdem Sie die Voraussetzungen erfüllt haben, öffnen Sie die [IAM Identity](https://console.aws.amazon.com/singlesignon) Center-Konsole.
1. Wählen Sie im linken Navigationsbereich **Einstellungen** aus.
1. Suchen Sie auf der Seite **Einstellungen** das Informationsfeld **Automatische Bereitstellung** und wählen Sie dann **Aktivieren** aus. Dadurch wird sofort die automatische Bereitstellung im IAM Identity Center aktiviert und die erforderlichen SCIM-Endpoint- und Zugriffstoken-Informationen werden angezeigt.
1. Kopieren Sie im Dialogfeld **Automatische Bereitstellung für eingehende Nachrichten** den SCIM-Endpunkt und das Zugriffstoken. Sie müssen diese später einfügen, wenn Sie die Bereitstellung in Ihrem IdP konfigurieren.
1. **SCIM-Endpunkt** — Zum Beispiel https://scim. *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*
1. **Zugriffstoken — Wählen Sie Token anzeigen****, um den Wert zu kopieren.**
**Warnung**
Dies ist das einzige Mal, dass Sie den SCIM-Endpunkt und das Zugriffstoken abrufen können. Stellen Sie sicher, dass Sie diese Werte kopieren, bevor Sie fortfahren. Sie werden diese Werte eingeben, um die automatische Bereitstellung in Ihrem IdP später in diesem Tutorial zu konfigurieren.
1. Klicken Sie auf **Schließen**.
Nachdem Sie dieses Verfahren abgeschlossen haben, müssen Sie die automatische Bereitstellung in Ihrem IdP konfigurieren. Weitere Informationen finden Sie unter [Tutorials zu Identitätsquellen im IAM Identity Center](tutorials.md) Für Ihren IdP.
# Löschen Sie ein Zugriffstoken
Gehen Sie wie folgt vor, um ein vorhandenes Zugriffstoken in der IAM Identity Center-Konsole zu löschen.
**Um ein vorhandenes Zugriffstoken zu löschen**
1. Wählen Sie in der [IAM Identity Center-Konsole](https://console.aws.amazon.com/singlesignon) im linken Navigationsbereich **Einstellungen** aus.
1. Wählen Sie auf der Seite „**Einstellungen**“ die Registerkarte „**Identitätsquelle**“ und dann „**Aktionen“ > „Bereitstellung verwalten**“.
1. **Wählen Sie auf der Seite **Automatische Bereitstellung** unter **Zugriffstoken** das Zugriffstoken aus, das Sie löschen möchten, und wählen Sie dann Löschen aus.**
1. Überprüfen **Sie im Dialogfeld Zugriffstoken löschen** die Informationen, geben **Sie DELETE** ein, und wählen Sie dann **Zugriffstoken löschen** aus.
# Deaktivieren Sie die automatische Bereitstellung
Gehen Sie wie folgt vor, um die automatische Bereitstellung in der IAM Identity Center-Konsole zu deaktivieren.
**Wichtig**
Sie müssen das Zugriffstoken löschen, bevor Sie dieses Verfahren starten. Weitere Informationen finden Sie unter [Löschen Sie ein Zugriffstoken](delete-token.md).
**Um die automatische Bereitstellung in der IAM Identity Center-Konsole zu deaktivieren**
1. Wählen Sie in der [IAM Identity Center-Konsole](https://console.aws.amazon.com/singlesignon) im linken **Navigationsbereich Einstellungen** aus.
1. Wählen Sie auf der Seite „**Einstellungen**“ die Registerkarte „**Identitätsquelle**“ und dann „**Aktionen“ > „Bereitstellung verwalten**“.
1. **Wählen Sie auf der Seite **Automatische Bereitstellung** die Option Deaktivieren aus.**
1. Überprüfen **Sie im Dialogfeld Automatische Bereitstellung deaktivieren** die Informationen, geben **Sie DISABLE** ein, und wählen Sie dann **Automatische Bereitstellung deaktivieren** aus.
# Ein Zugriffstoken rotieren
Ein IAM Identity Center-Verzeichnis unterstützt bis zu zwei Zugriffstoken gleichzeitig. Um vor jeder Rotation ein zusätzliches Zugriffstoken zu generieren, löschen Sie alle abgelaufenen oder ungenutzten Zugriffstoken.
Wenn Ihr SCIM-Zugriffstoken bald abläuft, können Sie das folgende Verfahren verwenden, um ein vorhandenes Zugriffstoken in der IAM Identity Center-Konsole rotieren zu lassen.
**Um ein Zugriffstoken zu rotieren**
1. Wählen Sie in der [IAM Identity Center-Konsole](https://console.aws.amazon.com/singlesignon) im linken Navigationsbereich **Einstellungen** aus.
1. Wählen Sie auf der Seite „**Einstellungen**“ die Registerkarte „**Identitätsquelle**“ und dann „**Aktionen“ > „Bereitstellung verwalten**“.
1. Notieren Sie sich auf der Seite **Automatische Bereitstellung** unter **Zugriffstoken die Token-ID** des Tokens, das Sie rotieren möchten.
1. Folgen Sie den Schritten unter[Generieren Sie ein Zugriffstoken](generate-token.md), um ein neues Token zu erstellen. Wenn Sie bereits die maximale Anzahl von SCIM-Zugriffstoken erstellt haben, müssen Sie zunächst eines der vorhandenen Token löschen.
1. Rufen Sie die Website Ihres Identitätsanbieters auf und konfigurieren Sie das neue Zugriffstoken für die SCIM-Bereitstellung. Testen Sie dann die Konnektivität zum IAM Identity Center mithilfe des neuen SCIM-Zugriffstokens. Sobald Sie bestätigt haben, dass die Bereitstellung mit dem neuen Token erfolgreich funktioniert, fahren Sie mit dem nächsten Schritt in diesem Verfahren fort.
1. Folgen Sie den Schritten unter[Löschen Sie ein Zugriffstoken](delete-token.md), um das alte Zugriffstoken zu löschen, das Sie zuvor notiert haben. Sie können das Erstellungsdatum des Tokens auch als Hinweis dafür verwenden, welches Token entfernt werden soll.
# Automatisch bereitgestellte Ressourcen prüfen und abgleichen
Mit SCIM können Sie automatisch Benutzer, Gruppen und Gruppenmitgliedschaften aus Ihrer Identitätsquelle für IAM Identity Center bereitstellen. Dieses Handbuch hilft Ihnen dabei, diese Ressourcen zu überprüfen und abzugleichen, um eine korrekte Synchronisation zu gewährleisten.
## Warum sollten Sie Ihre Ressourcen prüfen?
Regelmäßige Prüfungen tragen dazu bei, dass Ihre Zugriffskontrollen korrekt bleiben und Ihr Identity Provider (IdP) ordnungsgemäß mit IAM Identity Center synchronisiert bleibt. Dies ist besonders wichtig für die Einhaltung von Sicherheitsbestimmungen und das Zugriffsmanagement.
Ressourcen, die Sie prüfen können:
+ Benutzer
+ Gruppen
+ Gruppenmitgliedschaften
Sie können AWS Identity Store [APIs](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/welcome.html)- oder [CLI-Befehle](https://docs.aws.amazon.com/cli/latest/reference/identitystore/) verwenden, um die Prüfung und den Abgleich durchzuführen. In den folgenden Beispielen AWS CLI werden Befehle verwendet. API-Alternativen finden Sie in den [entsprechenden Vorgängen](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_Operations.html) in der *Identity Store-API-Referenz*.
## Wie prüft man Ressourcen
Im Folgenden finden Sie Beispiele dafür, wie Sie diese Ressourcen mithilfe von AWS CLI Befehlen prüfen können.
Stellen Sie vor Beginn sicher, dass Sie über Folgendes verfügen:
+ Administratorzugriff auf IAM Identity Center.
+ AWS CLI installiert und konfiguriert. Weitere Informationen finden Sie im [https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html).
+ Erforderliche IAM-Berechtigungen für Identity Store-Befehle.
### Schritt 1: Aktuelle Ressourcen auflisten
Sie können Ihre aktuellen Ressourcen mit dem anzeigen AWS CLI.
**Anmerkung**
Wenn Sie den verwenden AWS CLI, erfolgt die Seitennummerierung automatisch, sofern Sie nichts anderes angeben`--no-paginate`. Wenn Sie die API direkt aufrufen (z. B. mit einem SDK oder einem benutzerdefinierten Skript), behandeln Sie das `NextToken` in der Antwort. Dadurch wird sichergestellt, dass Sie alle Ergebnisse auf mehreren Seiten abrufen.
**Example für Benutzer**
```
aws identitystore list-users \
--region REGION \
--identity-store-id IDENTITY_STORE_ID
```
**Example für Gruppen**
```
aws identitystore list-groups \
--region REGION \
--identity-store-id IDENTITY_STORE_ID
```
**Example für Gruppenmitgliedschaften**
```
aws identitystore list-group-memberships \
--region REGION \
--identity-store-id IDENTITY_STORE_ID
--group-id GROUP_ID
```
### Schritt 2: Mit Ihrer Identitätsquelle vergleichen
Vergleichen Sie die aufgelisteten Ressourcen mit Ihrer Identitätsquelle, um etwaige Unstimmigkeiten zu ermitteln, z. B.:
+ Fehlende Ressourcen, die in IAM Identity Center bereitgestellt werden sollten.
+ Zusätzliche Ressourcen, die aus IAM Identity Center entfernt werden sollten.
**Example für Benutzer**
```
# Create missing users
aws identitystore create-user \
--identity-store-id IDENTITY_STORE_ID \
--user-name USERNAME \
--display-name DISPLAY_NAME \
--name GivenName=FIRST_NAME,FamilyName=LAST_NAME \
--emails Value=EMAIL,Primary=true
# Delete extra users
aws identitystore delete-user \
--identity-store-id IDENTITY_STORE_ID \
--user-id USER_ID
```
**Example für Gruppen**
```
# Create missing groups
aws identitystore create-group \
--identity-store-id IDENTITY_STORE_ID \
[group attributes]
# Delete extra groups
aws identitystore delete-group \
--identity-store-id IDENTITY_STORE_ID \
--group-id GROUP_ID
```
**Example für Gruppenmitgliedschaften**
```
# Add missing members
aws identitystore create-group-membership \
--identity-store-id IDENTITY_STORE_ID \
--group-id GROUP_ID \
--member-id '{"UserId": "USER_ID"}'
# Remove extra members
aws identitystore delete-group-membership \
--identity-store-id IDENTITY_STORE_ID \
--membership-id MEMBERSHIP_ID
```
## Überlegungen
+ Befehle unterliegen [Dienstkontingenten und API-Drosselung](limits.md#ssothrottlelimits).
+ Wenn Sie beim Abgleich viele Unterschiede feststellen, nehmen Sie kleine, schrittweise Änderungen am AWS Identity Store vor. Auf diese Weise können Sie Fehler vermeiden, die mehrere Benutzer betreffen.
+ Die SCIM-Synchronisierung kann Ihre manuellen Änderungen außer Kraft setzen. Überprüfe deine IdP-Einstellungen, um dieses Verhalten zu verstehen.
## Manuelles Provisioning
Einige bieten IdPs keine SCIM-Unterstützung (System for Cross-Domain Identity Management) oder verfügen über eine inkompatible SCIM-Implementierung. In diesen Fällen können Sie Benutzer manuell über die IAM Identity Center-Konsole bereitstellen. Wenn Sie Benutzer zu IAM Identity Center hinzufügen, stellen Sie sicher, dass der Benutzername mit dem Benutzernamen identisch ist, den Sie in Ihrem IdP haben. Sie müssen mindestens eine eindeutige E-Mail-Adresse und einen eindeutigen Benutzernamen haben. Weitere Informationen finden Sie unter [Eindeutigkeit von Benutzername und E-Mail-Adresse](users-groups-provisioning.md#username-email-unique).
Außerdem müssen Sie alle Gruppen manuell in IAM Identity Center verwalten. Dazu erstellen Sie die Gruppen und fügen sie mithilfe der IAM Identity Center-Konsole hinzu. Diese Gruppen müssen nicht mit dem übereinstimmen, was in Ihrem IdP vorhanden ist. Weitere Informationen finden Sie unter [Gruppen](users-groups-provisioning.md#groups-concept).
# Wechseln Sie die SAML 2.0-Zertifikate
IAM Identity Center verwendet Zertifikate, um eine SAML-Vertrauensstellung zwischen IAM Identity Center und Ihrem externen Identitätsanbieter (IdP) einzurichten. Wenn Sie einen externen IdP in IAM Identity Center hinzufügen, müssen Sie außerdem mindestens ein öffentliches SAML 2.0 X.509-Zertifikat vom externen IdP beziehen. Dieses Zertifikat wird normalerweise automatisch während des IdP-SAML-Metadatenaustauschs während der Vertrauenserstellung installiert.
Als IAM Identity Center-Administrator müssen Sie gelegentlich ältere IdP-Zertifikate durch neuere ersetzen. Beispielsweise müssen Sie möglicherweise ein IdP-Zertifikat ersetzen, wenn sich das Ablaufdatum des Zertifikats nähert. Der Vorgang, bei dem ein älteres Zertifikat durch ein neueres ersetzt wird, wird als Zertifikatsrotation bezeichnet.
**Topics**
+ [
# Ein SAML 2.0-Zertifikat rotieren
](rotatesamlcert.md)
+ [
# Indikatoren für den Ablaufstatus des Zertifikats
](samlcertexpirationindicators.md)
# Ein SAML 2.0-Zertifikat rotieren
Möglicherweise müssen Sie Zertifikate regelmäßig importieren, um ungültige oder abgelaufene Zertifikate, die von Ihrem Identitätsanbieter ausgestellt wurden, rotieren zu lassen. Dies trägt dazu bei, Unterbrechungen oder Ausfallzeiten bei der Authentifizierung zu vermeiden. Alle importierten Zertifikate sind automatisch aktiv. Zertifikate sollten erst gelöscht werden, nachdem sichergestellt wurde, dass sie nicht mehr mit dem zugehörigen Identitätsanbieter verwendet werden.
Sie sollten auch berücksichtigen, dass einige Zertifikate IdPs möglicherweise nicht mehrere Zertifikate unterstützen. In diesem Fall IdPs kann die Rotation von Zertifikaten mit diesen Zertifikaten eine vorübergehende Unterbrechung des Dienstes für Ihre Benutzer bedeuten. Der Dienst wird wiederhergestellt, wenn das Vertrauen zu diesem IdP erfolgreich wiederhergestellt wurde. Planen Sie diesen Vorgang möglichst außerhalb der Spitzenzeiten sorgfältig.
**Anmerkung**
Aus Sicherheitsgründen sollten Sie bei Anzeichen einer Beeinträchtigung oder falschen Handhabung eines vorhandenen SAML-Zertifikats das Zertifikat sofort entfernen und rotieren lassen.
Die Rotation eines IAM Identity Center-Zertifikats ist ein mehrstufiger Prozess, der Folgendes umfasst:
+ Ein neues Zertifikat vom IdP erhalten
+ Das neue Zertifikat wird in das IAM Identity Center importiert
+ Aktivierung des neuen Zertifikats im IdP
+ Löschen des älteren Zertifikats
Verwenden Sie alle der folgenden Verfahren, um den Zertifikatsrotationsprozess abzuschließen und gleichzeitig Ausfallzeiten bei der Authentifizierung zu vermeiden.
**Schritt 1: Besorgen Sie sich ein neues Zertifikat vom IdP**
Gehen Sie zur IdP-Website und laden Sie ihr SAML 2.0-Zertifikat herunter. Stellen Sie sicher, dass die Zertifikatsdatei im PEM-codierten Format heruntergeladen wurde. Bei den meisten Anbietern können Sie mehrere SAML 2.0-Zertifikate im IdP erstellen. Es ist wahrscheinlich, dass diese als deaktiviert oder inaktiv markiert werden.
**Schritt 2: Importieren Sie das neue Zertifikat in IAM Identity Center**
Gehen Sie wie folgt vor, um das neue Zertifikat mithilfe der IAM Identity Center-Konsole zu importieren.
1. **Wählen Sie in der [IAM Identity Center-Konsole](https://console.aws.amazon.com/singlesignon) Einstellungen aus.**
1. Wählen Sie auf der Seite „**Einstellungen**“ die Registerkarte „**Identitätsquelle**“ und dann „**Aktionen“ > „Authentifizierung verwalten**“.
1. Wählen Sie auf der Seite **SAML 2.0-Zertifikate verwalten** die Option **Zertifikat importieren** aus.
1. Wählen Sie im Dialogfeld **SAML 2.0-Zertifikat importieren** die Option **Datei auswählen** aus, navigieren Sie zu Ihrer Zertifikatsdatei, wählen Sie sie aus und wählen Sie dann Zertifikat **importieren** aus.
Ab diesem Zeitpunkt vertraut IAM Identity Center allen eingehenden SAML-Nachrichten, die von beiden importierten Zertifikaten signiert wurden.
**Schritt 3: Aktivieren Sie das neue Zertifikat im IdP**
Gehen Sie zurück zur IdP-Website und markieren Sie das neue Zertifikat, das Sie zuvor erstellt haben, als primär oder aktiv. Zu diesem Zeitpunkt sollten alle vom IdP signierten SAML-Nachrichten das neue Zertifikat verwenden.
**Schritt 4: Löschen Sie das alte Zertifikat**
Gehen Sie wie folgt vor, um den Zertifikatsrotationsprozess für Ihren IdP abzuschließen. Es muss immer mindestens ein gültiges Zertifikat aufgeführt sein, das nicht entfernt werden kann.
**Anmerkung**
Stellen Sie sicher, dass Ihr Identitätsanbieter keine SAML-Antworten mehr mit diesem Zertifikat signiert, bevor Sie es löschen.
1. Wählen Sie auf der Seite **SAML 2.0-Zertifikate verwalten** das Zertifikat aus, das Sie löschen möchten. Wählen Sie **Löschen** aus.
1. **Geben **Sie im Dialogfeld SAML 2.0-Zertifikat löschen** **DELETE** zur Bestätigung den Text ein, und wählen Sie dann Löschen aus.**
1. Kehren Sie zur Website des IdP zurück und führen Sie die erforderlichen Schritte aus, um das ältere inaktive Zertifikat zu entfernen.
# Indikatoren für den Ablaufstatus des Zertifikats
Auf der Seite **SAML 2.0-Zertifikate verwalten** werden in der Spalte **Läuft ab** neben jedem Zertifikat in der Liste farbige Statusanzeigesymbole angezeigt. Im Folgenden werden die Kriterien beschrieben, anhand derer IAM Identity Center bestimmt, welches Symbol für jedes Zertifikat angezeigt wird.
+ **Rot** — Zeigt an, dass ein Zertifikat abgelaufen ist.
+ **Gelb** — Zeigt an, dass ein Zertifikat in 90 Tagen oder weniger abläuft.
+ **Grün** — Zeigt an, dass ein Zertifikat gültig ist und noch mindestens 90 Tage gültig bleibt.
**Um den aktuellen Status eines Zertifikats zu überprüfen**
1. Wählen Sie in der [IAM Identity Center-Konsole](https://console.aws.amazon.com/singlesignon) **Einstellungen** aus.
1. Wählen Sie auf der Seite „**Einstellungen**“ die Registerkarte „**Identitätsquelle**“ und dann „**Aktionen“ > „Authentifizierung verwalten**“.
1. Überprüfen **Sie auf der Seite SAML 2.0-Authentifizierung** **verwalten unter SAML 2.0-Zertifikate** verwalten den Status der Zertifikate in der Liste, wie in der Spalte **Läuft ab am** angegeben.
# Microsoft ADVerzeichnis
Mit AWS IAM Identity Center können Sie ein selbstverwaltetes Verzeichnis in Active Directory (AD) oder ein Verzeichnis in mithilfe AWS Managed Microsoft AD von. AWS Directory Service Dieses Microsoft AD-Verzeichnis definiert den Identitätspool, aus dem Administratoren abrufen können, wenn sie die IAM Identity Center-Konsole verwenden, um Single Sign-On-Zugriff zuzuweisen. Nachdem Sie Ihr Unternehmensverzeichnis mit dem IAM Identity Center verbunden haben, können Sie Ihren AD-Benutzern oder -Gruppen Zugriff AWS-Konten auf Anwendungen oder beides gewähren.
AWS Directory Service hilft Ihnen bei der Einrichtung und Ausführung eines eigenständigen AWS Managed Microsoft AD Verzeichnisses, das in der AWS Cloud gehostet wird. Sie können es auch verwenden Directory Service , um Ihre AWS Ressourcen mit einem vorhandenen selbstverwalteten AD zu verbinden. Um die Konfiguration AWS Directory Service für die Verwendung mit Ihrem selbstverwalteten AD durchzuführen, müssen Sie zunächst Vertrauensbeziehungen einrichten, um die Authentifizierung auf die Cloud auszudehnen.
IAM Identity Center verwendet die von bereitgestellte Verbindung Directory Service , um die Passthrough-Authentifizierung für die AD-Quellinstanz durchzuführen. Wenn Sie IAM Identity Center AWS Managed Microsoft AD als Identitätsquelle verwenden, kann es mit Benutzern aus AWS Managed Microsoft AD oder von jeder Domain zusammenarbeiten, die über einen AD-Trust verbunden ist. Wenn Sie Ihre Benutzer in vier oder mehr Domänen suchen möchten, müssen Benutzer die `DOMAIN\user` Syntax als ihren Benutzernamen verwenden, wenn sie sich bei IAM Identity Center anmelden.
**Hinweise**
Stellen Sie als Voraussetzung sicher, dass sich Ihr AD Connector oder Ihr Verzeichnis AWS Managed Microsoft AD in in in Ihrem AWS Organizations Verwaltungskonto Directory Service befindet.
IAM Identity Center unterstützt SAMBA 4-basiertes Simple AD nicht als verbundenes Verzeichnis.
IAM Identity Center kann Foreign Security Principals () nicht synchronisieren. FSPs Wenn eine Gruppe Mitglieder aus einer vertrauenswürdigen Domäne AWS Managed Microsoft AD enthält FSPs, werden diese Mitglieder nicht synchronisiert.
Eine Demonstration der Verwendung von Active Directory als Identitätsquelle für IAM Identity Center finden Sie im folgenden YouTube Video:
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/OMbob_ef7J4?si=J23xw0EGkZOo8y9n)
## Überlegungen zur Verwendung von Active Directory
Wenn Sie Active Directory als Identitätsquelle verwenden möchten, muss Ihre Konfiguration die folgenden Voraussetzungen erfüllen:
+ Wenn Sie IAM Identity Center verwenden AWS Managed Microsoft AD, müssen Sie es dort aktivieren AWS-Region , wo Ihr AWS Managed Microsoft AD Verzeichnis eingerichtet ist. IAM Identity Center speichert die Zuweisungsdaten in derselben Region wie das Verzeichnis. Um IAM Identity Center zu verwalten, müssen Sie möglicherweise zu der Region wechseln, in der IAM Identity Center konfiguriert ist. Beachten Sie außerdem, dass das AWS Zugriffsportal dieselbe Zugriffs-URL wie Ihr Verzeichnis verwendet.
+ Verwenden Sie ein Active Directory, das sich im Verwaltungskonto befindet:
Sie müssen einen vorhandenen AD Connector oder ein AWS Managed Microsoft AD Verzeichnis eingerichtet haben AWS Directory Service, und es muss sich in Ihrem AWS Organizations Verwaltungskonto befinden. Sie können jeweils nur ein AD Connector Connector-Verzeichnis oder ein Verzeichnis verbinden. AWS Managed Microsoft AD Wenn Sie mehrere Domänen oder Gesamtstrukturen unterstützen müssen, verwenden Sie AWS Managed Microsoft AD. Weitere Informationen finden Sie unter:
+ [Ein Verzeichnis mit dem IAM Identity Center Connect AWS Managed Microsoft AD](connectawsad.md)
+ [Ein selbstverwaltetes Verzeichnis in Active Directory mit IAM Identity Center Connect](connectonpremad.md)
+ Verwenden Sie ein Active Directory, das sich im delegierten Administratorkonto befindet:
Wenn Sie planen, den delegierten IAM Identity Center-Administrator zu aktivieren und Active Directory als Ihre IAM Identity Center-Identitätsquelle zu verwenden, können Sie einen vorhandenen AD Connector oder ein Verzeichnis verwenden, das im AWS Managed Microsoft AD Verzeichnis eingerichtet ist und sich im AWS delegierten Administratorkonto befindet.
Wenn Sie beschließen, die IAM Identity Center-Identitätsquelle von einer anderen Quelle in Active Directory oder von Active Directory in eine andere Quelle zu ändern, muss sich das Verzeichnis in dem delegierten IAM Identity Center-Administrator-Mitgliedskonto befinden (diesem gehören), falls eines existiert; andernfalls muss es sich im Verwaltungskonto befinden.
# Connect Active Directory und geben Sie einen Benutzer an
Wenn Sie Active Directory bereits verwenden, helfen Ihnen die folgenden Themen bei der Vorbereitung der Verbindung Ihres Verzeichnisses mit IAM Identity Center.
Sie können ein AWS Managed Microsoft AD Verzeichnis oder ein selbstverwaltetes Verzeichnis in Active Directory mit IAM Identity Center verbinden.
**Anmerkung**
IAM Identity Center unterstützt SAMBA4 basiertes Simple AD nicht als Identitätsquelle.
**AWS Managed Microsoft AD**
1. Lesen Sie die Anleitung unter[Microsoft ADVerzeichnis](manage-your-identity-source-ad.md).
1. Führen Sie die Schritte unter [Ein Verzeichnis mit dem IAM Identity Center Connect AWS Managed Microsoft AD](connectawsad.md) aus.
1. Konfigurieren Sie Active Directory so, dass der Benutzer, dem Sie Administratorrechte gewähren möchten, mit IAM Identity Center synchronisiert wird. Weitere Informationen finden Sie unter [Synchronisieren Sie einen Administratorbenutzer mit IAM Identity Center](#sync-admin-user-from-ad).
**Selbstverwaltetes Verzeichnis in Active Directory**
1. Lesen Sie die Anleitung unter[Microsoft ADVerzeichnis](manage-your-identity-source-ad.md).
1. Führen Sie die Schritte unter [Ein selbstverwaltetes Verzeichnis in Active Directory mit IAM Identity Center Connect](connectonpremad.md) aus.
1. Konfigurieren Sie Active Directory so, dass der Benutzer, dem Sie Administratorrechte gewähren möchten, mit IAM Identity Center synchronisiert wird. Weitere Informationen finden Sie unter [Synchronisieren Sie einen Administratorbenutzer mit IAM Identity Center](#sync-admin-user-from-ad).
**Externer IdP**
1. Lesen Sie die Anleitung unter[Externe Identitätsanbieter](manage-your-identity-source-idp.md).
1. Führen Sie die Schritte unter [Wie stelle ich eine Verbindung zu einem externen Identitätsanbieter her](how-to-connect-idp.md) aus.
1.
Konfigurieren Sie Ihren IdP so, dass er Benutzer für das IAM Identity Center bereitstellt.
**Anmerkung**
Bevor Sie die automatische, gruppenbasierte Bereitstellung all Ihrer Mitarbeiteridentitäten von Ihrem IdP in IAM Identity Center einrichten, empfehlen wir Ihnen, den einen Benutzer, dem Sie Administratorrechte gewähren möchten, mit IAM Identity Center zu synchronisieren.
## Synchronisieren Sie einen Administratorbenutzer mit IAM Identity Center
Nachdem Sie Ihr Active Directory mit dem IAM Identity Center verbunden haben, können Sie einen Benutzer angeben, dem Sie Administratorrechte gewähren möchten, und diesen Benutzer dann aus Ihrem Verzeichnis mit IAM Identity Center synchronisieren.
1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).
1. Wählen Sie **Einstellungen** aus.
1. Wählen Sie auf der Seite **„Einstellungen**“ die Registerkarte „**Identitätsquelle**“, klicken Sie auf „**Aktionen**“ und anschließend auf „Synchronisation **verwalten**“.
1. Wählen Sie auf der Seite „**Synchronisation verwalten**“ die Registerkarte „**Benutzer**“ und dann „**Benutzer und Gruppen hinzufügen**“ aus.
1. Geben Sie auf der Registerkarte **Benutzer** unter **Benutzer** den genauen Benutzernamen ein und wählen Sie **Hinzufügen** aus.
1. Gehen Sie unter **Hinzugefügte Benutzer und Gruppen** wie folgt vor:
1. Vergewissern Sie sich, dass der Benutzer, dem Sie Administratorrechte gewähren möchten, angegeben ist.
1. Aktivieren Sie das Kontrollkästchen links neben dem Benutzernamen.
1. Wählen Sie **Absenden** aus.
1. Auf der Seite **„Synchronisation verwalten**“ wird der von Ihnen angegebene Benutzer in der Liste „**Synchronisierte Benutzer“** angezeigt.
1. Klicken Sie im Navigationsbereich auf **Users (Benutzer)**.
1. Auf der Seite **Benutzer** kann es einige Zeit dauern, bis der von Ihnen angegebene Benutzer in der Liste erscheint. Wählen Sie das Aktualisierungssymbol, um die Benutzerliste zu aktualisieren.
Zu diesem Zeitpunkt hat Ihr Benutzer keinen Zugriff auf das Verwaltungskonto. Sie richten den Administratorzugriff auf dieses Konto ein, indem Sie einen Administratorberechtigungssatz erstellen und den Benutzer diesem Berechtigungssatz zuweisen. Weitere Informationen finden Sie unter [Erstellen Sie einen Berechtigungssatz](howtocreatepermissionset.md).
## Bereitstellung, wenn Benutzer aus Active Directory kommen
IAM Identity Center verwendet die von der bereitgestellte Verbindung, Directory Service um Benutzer-, Gruppen- und Mitgliedschaftsinformationen aus Ihrem Quellverzeichnis in Active Directory mit dem IAM Identity Center-Identitätsspeicher zu synchronisieren. Es werden keine Kennwortinformationen mit IAM Identity Center synchronisiert, da die Benutzerauthentifizierung direkt aus dem Quellverzeichnis in Active Directory erfolgt. Diese Identitätsdaten werden von Anwendungen verwendet, um In-App-Such-, Autorisierungs- und Zusammenarbeitsszenarien zu ermöglichen, ohne LDAP-Aktivitäten an das Quellverzeichnis in Active Directory zurückzugeben.
Weitere Informationen zur Bereitstellung finden Sie unter. [Bereitstellung von Benutzern und Gruppen](users-groups-provisioning.md#user-group-provision)
**Topics**
+ [
## Überlegungen zur Verwendung von Active Directory
](#considerations-ad-identitysource)
+ [
# Connect Active Directory und geben Sie einen Benutzer an
](get-started-connect-id-source-ad-idp-specify-user.md)
+ [
## Bereitstellung, wenn Benutzer aus Active Directory kommen
](#provision-users-from-ad)
+ [
# Ein Verzeichnis mit dem IAM Identity Center Connect AWS Managed Microsoft AD
](connectawsad.md)
+ [
# Ein selbstverwaltetes Verzeichnis in Active Directory mit IAM Identity Center Connect
](connectonpremad.md)
+ [
# Attributzuordnungen zwischen dem IAM Identity Center und dem Verzeichnis externer Identitätsanbieter
](attributemappingsconcept.md)
+ [
# IAM Identity Center, konfigurierbare AD-Synchronisierung
](provision-users-from-ad-configurable-ADsync.md)
# Ein Verzeichnis mit dem IAM Identity Center Connect AWS Managed Microsoft AD
Gehen Sie wie folgt vor, um ein Verzeichnis, das von verwaltet wird AWS Managed Microsoft AD , mit dem IAM Identity Center AWS Directory Service zu verbinden.
**So stellen Sie eine Verbindung AWS Managed Microsoft AD zum IAM Identity Center her**
1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).
**Anmerkung**
Stellen Sie sicher, dass die IAM Identity Center-Konsole eine der Regionen verwendet, in denen sich Ihr AWS Managed Microsoft AD Verzeichnis befindet, bevor Sie mit dem nächsten Schritt fortfahren.
1. Wählen Sie **Einstellungen** aus.
1. Wählen Sie auf der Seite „**Einstellungen**“ die Registerkarte „**Identitätsquelle**“ und dann „**Aktionen“ > „Identitätsquelle ändern**“.
1. **Wählen Sie unter Identitätsquelle** auswählen die Option **Active Directory** und dann **Weiter** aus.
1. Wählen **Sie unter Active Directory verbinden** ein Verzeichnis in AWS Managed Microsoft AD aus der Liste aus, und klicken Sie dann auf **Weiter**.
1. Überprüfen **Sie unter Änderung bestätigen** die Informationen, geben Sie **ACCEPT** ein, wenn Sie bereit sind, und wählen Sie dann **Identitätsquelle ändern** aus.
**Wichtig**
Um einen Benutzer in Active Directory als Administratorbenutzer in IAM Identity Center anzugeben, müssen Sie zuerst den Benutzer, dem Sie Administratorrechte aus Active Directory gewähren möchten, mit IAM Identity Center synchronisieren. Eine Schritt-für-Schritt-Anleitung hierzu finden Sie unter [Synchronisieren Sie einen Administratorbenutzer mit IAM Identity Center](get-started-connect-id-source-ad-idp-specify-user.md#sync-admin-user-from-ad).
# Ein selbstverwaltetes Verzeichnis in Active Directory mit IAM Identity Center Connect
Benutzer in Ihrem selbstverwalteten Verzeichnis in Active Directory (AD) können auch über Single Sign-On auf Anwendungen im AWS-Konten Zugriffsportal zugreifen. AWS Um den Single Sign-On-Zugriff für diese Benutzer zu konfigurieren, können Sie einen der folgenden Schritte ausführen:
+ **Eine bidirektionale Vertrauensstellung** einrichten — Wenn wechselseitige Vertrauensstellungen zwischen AWS Managed Microsoft AD und einem selbstverwalteten Verzeichnis in AD eingerichtet werden, können sich Benutzer in Ihrem selbstverwalteten Verzeichnis in AD mit ihren Unternehmensanmeldeinformationen bei verschiedenen AWS Diensten und Geschäftsanwendungen anmelden. Einseitige Vertrauensstellungen funktionieren nicht mit IAM Identity Center.
AWS IAM Identity Center erfordert eine bidirektionale Vertrauensstellung, damit Benutzer- und Gruppeninformationen aus Ihrer Domain gelesen und Benutzer- und Gruppenmetadaten synchronisiert werden können. IAM Identity Center verwendet diese Metadaten, wenn es Zugriff auf Berechtigungssätze oder Anwendungen zuweist. Benutzer- und Gruppenmetadaten werden auch von Anwendungen für die Zusammenarbeit verwendet, z. B. wenn Sie ein Dashboard mit einem anderen Benutzer oder einer anderen Gruppe teilen. Das Vertrauen von Directory Service Microsoft Active Directory zu Ihrer Domain ermöglicht es IAM Identity Center, Ihrer Domain bei der Authentifizierung zu vertrauen. Das Vertrauen in die entgegengesetzte Richtung gewährt AWS Berechtigungen zum Lesen von Benutzer- und Gruppenmetadaten.
Weitere Informationen zum Einrichten einer bidirektionalen Vertrauensstellung finden Sie unter [Wann sollte eine Vertrauensstellung eingerichtet werden?](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/setup_trust.html) im *AWS Directory Service Administratorhandbuch*.
**Anmerkung**
Um AWS Anwendungen wie IAM Identity Center zum Lesen von Directory Service Verzeichnisbenutzern aus vertrauenswürdigen Domänen verwenden zu können, benötigen die Directory Service Konten Berechtigungen für das userAccountControl Attribut der vertrauenswürdigen Benutzer. Ohne Leseberechtigungen für dieses Attribut können AWS Anwendungen nicht feststellen, ob das Konto aktiviert oder deaktiviert ist.
Lesezugriff auf dieses Attribut wird standardmäßig gewährt, wenn eine Vertrauensstellung erstellt wird. Wenn Sie den Zugriff auf dieses Attribut verweigern (nicht empfohlen), verhindern Sie, dass Anwendungen wie Identity Center vertrauenswürdige Benutzer lesen können. Die Lösung besteht darin, den Lesezugriff auf das `userAccountControl` Attribut der AWS Dienstkonten unter der AWS reservierten Organisationseinheit (mit dem Präfix AWS\$1) ausdrücklich zuzulassen.
+ **Erstellen Sie einen AD-Connector** — AD Connector ist ein Verzeichnis-Gateway, das Verzeichnisanfragen an Ihr selbstverwaltetes AD umleiten kann, ohne Informationen in der Cloud zwischenzuspeichern. Weitere Informationen finden Sie unter [Connect einem Verzeichnis](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_ad_connector.html) herstellen im *AWS Directory Service Administratorhandbuch*. Bei der Verwendung von AD Connector sollten Sie Folgendes beachten:
+ Wenn Sie IAM Identity Center mit einem AD Connector Connector-Verzeichnis verbinden, müssen alle future Benutzerpasswörter von AD aus zurückgesetzt werden. Das bedeutet, dass Benutzer ihre Passwörter nicht über das AWS Zugriffsportal zurücksetzen können.
+ Wenn Sie AD Connector verwenden, um Ihren Active Directory-Domänendienst mit IAM Identity Center zu verbinden, hat IAM Identity Center nur Zugriff auf die Benutzer und Gruppen der einzelnen Domäne, an die AD Connector angehängt ist. Wenn Sie mehrere Domänen oder Gesamtstrukturen unterstützen müssen, verwenden Sie Directory Service Microsoft Active Directory.
**Anmerkung**
IAM Identity Center funktioniert nicht mit SAMBA4 basierten Simple AD AD-Verzeichnissen.
# Attributzuordnungen zwischen dem IAM Identity Center und dem Verzeichnis externer Identitätsanbieter
Attributzuordnungen werden verwendet, um Attributtypen, die in IAM Identity Center vorhanden sind, ähnlichen Attributen in Ihrer externen Identitätsquelle zuzuordnen, z. B., und. Google Workspace Microsoft Active Directory (AD) Okta IAM Identity Center ruft Benutzerattribute aus Ihrer Identitätsquelle ab und ordnet sie den IAM Identity Center-Benutzerattributen zu.
Wenn Ihr IAM Identity Center so synchronisiert ist, dass **es einen externen Identitätsanbieter** (IdP) wie Google WorkspaceOkta, oder Ping als Identitätsquelle verwendet, müssen Sie Ihre Attribute in Ihrem IdP zuordnen.
IAM Identity Center füllt auf der zugehörigen Konfigurationsseite auf der Registerkarte **Attributzuordnungen** eine Reihe von Attributen für Sie vorab aus. IAM Identity Center verwendet diese Benutzerattribute, um SAML-Assertionen (als SAML-Attribute) aufzufüllen, die an die Anwendung gesendet werden. Diese Benutzerattribute werden wiederum aus Ihrer Identitätsquelle abgerufen. Jede Anwendung bestimmt die Liste der SAML 2.0-Attribute, die sie für ein erfolgreiches Single Sign-On benötigt. Weitere Informationen finden Sie unter [Ordnen Sie Attribute in Ihrer Anwendung den IAM Identity Center-Attributen zu](mapawsssoattributestoapp.md).
IAM Identity Center verwaltet auch eine Reihe von Attributen für Sie im Abschnitt **Attributzuordnungen** auf Ihrer **Active Directory-Konfigurationsseite, wenn Sie Active Directory** als Identitätsquelle verwenden. Weitere Informationen finden Sie unter [Zuordnung von Benutzerattributen zwischen IAM Identity Center und dem Verzeichnis Microsoft AD](mapssoattributestocdattributes.md).
## Unterstützte externe Identitätsanbieter-Attribute
In der folgenden Tabelle sind alle unterstützten Attribute des externen Identitätsanbieters (IdP) aufgeführt. Sie können Attributen zugeordnet werden, die Sie bei der Konfiguration [Attribute für Zugriffskontrolle](attributesforaccesscontrol.md) in IAM Identity Center verwenden können. Wenn Sie SAML-Assertionen verwenden, können Sie alle Attribute verwenden, die Ihr IdP unterstützt.
****
| Unterstützte Attribute in Ihrem IdP |
| --- |
| \$1\$1path:userName\$1 |
| \$1\$1path:name.familyName\$1 |
| \$1\$1path:name.givenName\$1 |
| \$1\$1path:displayName\$1 |
| \$1\$1path:nickName\$1 |
| \$1\$1path:emails[primary eq true].value\$1 |
| \$1\$1path:addresses[type eq "work"].streetAddress\$1 |
| \$1\$1path:addresses[type eq "work"].locality\$1 |
| \$1\$1path:addresses[type eq "work"].region\$1 |
| \$1\$1path:addresses[type eq "work"].postalCode\$1 |
| \$1\$1path:addresses[type eq "work"].country\$1 |
| \$1\$1path:addresses[type eq "work"].formatted\$1 |
| \$1\$1path:phoneNumbers[type eq "work"].value\$1 |
| \$1\$1path:userType\$1 |
| \$1\$1path:title\$1 |
| \$1\$1path:locale\$1 |
| \$1\$1path:timezone\$1 |
| \$1\$1path:enterprise.employeeNumber\$1 |
| \$1\$1path:enterprise.costCenter\$1 |
| \$1\$1path:enterprise.organization\$1 |
| \$1\$1path:enterprise.division\$1 |
| \$1\$1path:enterprise.department\$1 |
| \$1\$1path:enterprise.manager.value\$1 |
## Standardzuordnungen zwischen IAM Identity Center und Microsoft AD
In der folgenden Tabelle sind die Standardzuordnungen für Benutzerattribute in IAM Identity Center zu den Benutzerattributen in Ihrem Verzeichnis aufgeführt. Microsoft AD IAM Identity Center unterstützt nur die Liste der Attribute in der Spalte **Benutzerattribut in IAM** Identity Center.
****
| Benutzerattribut im IAM Identity Center | Wird diesem Attribut in Ihrem Active Directory zugeordnet |
| --- | --- |
| displayname | \$1\$1displayname\$1 |
| emails[?primary].value \$1 | \$1\$1mail\$1 |
| externalid | \$1\$1objectguid\$1 |
| name.givenname | \$1\$1givenname\$1 |
| name.familyname | \$1\$1sn\$1 |
| name.middlename | \$1\$1initials\$1 |
| sid | \$1\$1objectsid\$1 |
| username | \$1\$1userprincipalname\$1 |
\$1 Das E-Mail-Attribut in IAM Identity Center muss innerhalb des Verzeichnisses eindeutig sein.
****
| Gruppenattribut in IAM Identity Center | Wird diesem Attribut in Ihrem Active Directory zugeordnet |
| --- | --- |
| externalid | \$1\$1objectguid\$1 |
| description | \$1\$1description\$1 |
| displayname | \$1\$1samaccountname\$1@\$1associateddomain\$1 |
**Überlegungen**
+ Wenn Sie bei der Aktivierung der konfigurierbaren AD-Synchronisierung keine Zuweisungen für Ihre Benutzer und Gruppen in IAM Identity Center haben, werden die Standardzuordnungen in den vorherigen Tabellen verwendet. Informationen zum Anpassen dieser Zuordnungen finden Sie unter. [Konfigurieren Sie Attributzuordnungen für Ihre Synchronisierung](manage-sync-configure-attribute-mapping-configurable-ADsync.md)
+ Bestimmte IAM Identity Center-Attribute können nicht geändert werden, da sie unveränderlich sind und standardmäßig bestimmten Microsoft AD-Verzeichnisattributen zugeordnet sind.
Beispielsweise ist „Benutzername“ ein obligatorisches Attribut in IAM Identity Center. Wenn Sie „username“ einem AD-Verzeichnisattribut mit einem leeren Wert zuordnen, betrachtet IAM Identity Center den `windowsUpn` Wert als Standardwert für „username“. Wenn Sie die Attributzuordnung für „Benutzername“ gegenüber Ihrer aktuellen Zuordnung ändern möchten, stellen Sie sicher, dass IAM Identity Center-Datenflüsse, die von „Benutzername“ abhängig sind, weiterhin wie erwartet funktionieren, bevor Sie die Änderung vornehmen.
## Unterstützte Microsoft AD Attribute für IAM Identity Center
In der folgenden Tabelle sind alle Microsoft AD Verzeichnisattribute aufgeführt, die unterstützt werden und Benutzerattributen in IAM Identity Center zugeordnet werden können.
****
| Unterstützte Attribute in Ihrem Microsoft AD-Verzeichnis |
| --- |
| \$1\$1samaccountname\$1 |
| \$1\$1description\$1 |
| \$1\$1objectguid\$1 |
| \$1\$1objectsid\$1 |
| \$1\$1givenname\$1 |
| \$1\$1sn\$1 |
| \$1\$1initials\$1 |
| \$1\$1mail\$1 |
| \$1\$1userprincipalname\$1 |
| \$1\$1displayname\$1 |
| \$1\$1distinguishedname\$1 |
| \$1\$1proxyaddresses[?type == "SMTP"].value\$1 |
| \$1\$1proxyaddresses[?type == "smtp"].value\$1 |
| \$1\$1useraccountcontrol\$1 |
| \$1\$1associateddomain\$1 |
**Überlegungen**
+ Sie können eine beliebige Kombination unterstützter Microsoft AD Verzeichnisattribute angeben, um sie einem einzelnen veränderbaren Attribut in IAM Identity Center zuzuordnen.
## Unterstützte IAM Identity Center-Attribute für Microsoft AD
In der folgenden Tabelle sind alle IAM Identity Center-Attribute aufgeführt, die unterstützt werden und Benutzerattributen in Ihrem Verzeichnis zugeordnet werden können. Microsoft AD Nachdem Sie Ihre Anwendungsattributzuordnungen eingerichtet haben, können Sie dieselben IAM Identity Center-Attribute verwenden, um sie den tatsächlichen Attributen zuzuordnen, die von dieser Anwendung verwendet werden.
****
| Unterstützte Attribute in IAM Identity Center für Active Directory |
| --- |
| \$1\$1user:AD\$1GUID\$1 |
| \$1\$1user:AD\$1SID\$1 |
| \$1\$1user:email\$1 |
| \$1\$1user:familyName\$1 |
| \$1\$1user:givenName\$1 |
| \$1\$1user:middleName\$1 |
| \$1\$1user:name\$1 |
| \$1\$1user:preferredUsername\$1 |
| \$1\$1user:subject\$1 |
# Zuordnung von Benutzerattributen zwischen IAM Identity Center und dem Verzeichnis Microsoft AD
Mit dem folgenden Verfahren können Sie angeben, wie Ihre Benutzerattribute in IAM Identity Center den entsprechenden Attributen in Ihrem Microsoft AD Verzeichnis zugeordnet werden sollen.
**So ordnen Sie Attribute in IAM Identity Center Attributen in Ihrem Verzeichnis zu**
1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).
1. Wählen Sie **Einstellungen** aus.
1. Wählen Sie auf der Seite **„Einstellungen**“ die Registerkarte „**Attribute für die Zugriffskontrolle**“ und dann „**Attribute verwalten**“.
1. Suchen Sie auf der Seite **„Attribut für Zugriffskontrolle verwalten**“ in IAM Identity Center nach dem Attribut, das Sie zuordnen möchten, und geben Sie dann einen Wert in das Textfeld ein. Beispielsweise möchten Sie möglicherweise das IAM Identity Center-Benutzerattribut **`email`**dem Microsoft AD-Verzeichnisattribut zuordnen **`${mail}`**.
1. Wählen Sie **Änderungen speichern ** aus.
# IAM Identity Center, konfigurierbare AD-Synchronisierung
Mit der konfigurierbaren Active Directory-Synchronisierung (AD) von IAM Identity Center können Sie die Identitäten in Microsoft Active Directory, die automatisch mit IAM Identity Center synchronisiert werden, explizit konfigurieren und den Synchronisierungsprozess steuern.
+ Mit dieser Synchronisierungsmethode können Sie Folgendes tun:
+ Kontrollieren Sie Datengrenzen, indem Sie explizit die Benutzer und Gruppen in Microsoft Active Directory definieren, die automatisch mit IAM Identity Center synchronisiert werden. Sie können [Benutzer und Gruppen hinzufügen](manage-sync-add-users-groups-configurable-ADsync.md) oder [Benutzer und Gruppen entfernen](manage-sync-remove-users-groups-configurable-ADsync.md), um den Umfang der Synchronisierung jederzeit zu ändern.
+ Weisen Sie synchronisierten Benutzern und Gruppen Single [Sign-On-Zugriff auf AWS-Konten](useraccess.md) oder [Zugriff auf Anwendungen zu](assignuserstoapp.md). Bei den Anwendungen kann AWS es sich um verwaltete Anwendungen oder um vom Kunden verwaltete Anwendungen handeln.
+ Steuern Sie den Synchronisierungsvorgang, indem Sie die [Synchronisierung bei Bedarf pausieren und wieder aufnehmen](manage-sync-pause-resume-sync-configurable-ADsync.md). Auf diese Weise können Sie die Auslastung der Produktionssysteme regulieren.
## Voraussetzungen und Überlegungen
Bevor Sie die konfigurierbare AD-Synchronisierung verwenden, sollten Sie die folgenden Voraussetzungen und Überlegungen beachten:
+ **Angeben der zu synchronisierenden Benutzer und Gruppen in Active Directory**
Bevor Sie IAM Identity Center verwenden können, um neuen Benutzern und Gruppen Zugriff auf verwaltete oder vom Kunden AWS verwaltete Anwendungen zuzuweisen, müssen Sie die Benutzer und Gruppen in Active Directory angeben, die synchronisiert werden sollen, und sie dann mit IAM Identity Center synchronisieren. AWS-Konten
+ **Konfigurierbare AD-Synchronisierung** — IAM Identity Center durchsucht Ihren Domain-Controller nicht direkt nach Benutzern und Gruppen. Stattdessen müssen Sie zunächst die Liste der Benutzer und Gruppen angeben, die synchronisiert werden sollen. Sie können diese Liste, auch *Synchronisierungsbereich* genannt, auf eine der folgenden Arten konfigurieren, je nachdem, ob Sie Benutzer und Gruppen haben, die bereits mit IAM Identity Center synchronisiert sind, oder ob Sie neue Benutzer und Gruppen haben, die Sie mithilfe der konfigurierbaren AD-Synchronisierung zum ersten Mal synchronisieren.
+ Bestehende Benutzer und Gruppen: Wenn Sie Benutzer und Gruppen haben, die bereits mit IAM Identity Center synchronisiert sind, ist der Synchronisierungsbereich in der konfigurierbaren AD-Synchronisierung bereits mit einer Liste dieser Benutzer und Gruppen gefüllt. Um neue Benutzer oder Gruppen zuzuweisen, müssen Sie sie ausdrücklich zum Synchronisierungsbereich hinzufügen. Weitere Informationen finden Sie unter [Fügen Sie Benutzer und Gruppen zu Ihrem Synchronisierungsbereich hinzu](manage-sync-add-users-groups-configurable-ADsync.md).
+ Neue Benutzer und Gruppen: Wenn Sie neuen Benutzern und Gruppen Zugriff auf und auf Anwendungen zuweisen möchten, müssen Sie in der konfigurierbaren AD-Synchronisierung angeben, welche Benutzer und Gruppen dem Synchronisierungsbereich hinzugefügt werden sollen, bevor Sie IAM Identity Center für die Zuweisung verwenden können. AWS-Konten Weitere Informationen finden Sie unter [Fügen Sie Benutzer und Gruppen zu Ihrem Synchronisierungsbereich hinzu](manage-sync-add-users-groups-configurable-ADsync.md).
+ **Zuweisungen zu verschachtelten Gruppen in Active Directory vornehmen**
Gruppen, die Mitglieder anderer Gruppen sind, werden als *verschachtelte Gruppen* (oder untergeordnete Gruppen) bezeichnet.
+ **Konfigurierbare AD-Synchronisierung** — Die Verwendung der konfigurierbaren AD-Synchronisierung, um Zuweisungen zu einer Gruppe in Active Directory vorzunehmen, die verschachtelte Gruppen enthält, kann die Anzahl der Benutzer erhöhen, die Zugriff auf AWS-Konten oder auf Anwendungen haben. In diesem Fall gilt die Zuweisung für alle Benutzer, auch für Benutzer in verschachtelten Gruppen. Wenn Sie beispielsweise Gruppe A Zugriff zuweisen und Gruppe B Mitglied von Gruppe A ist, erben Mitglieder von Gruppe B diesen Zugriff ebenfalls.
+ **Aktualisierung automatisierter Workflows**
Wenn Sie automatisierte Workflows verwenden, die die IAM Identity Center-API-Aktionen für den Identitätsspeicher und die IAM Identity Center-Zuweisungs-API-Aktionen verwenden, um neuen Benutzern und Gruppen Zugriff auf Konten und Anwendungen zuzuweisen und sie mit IAM Identity Center zu synchronisieren, müssen Sie diese Workflows bis zum 15. April 2022 anpassen, sodass sie mit konfigurierbarer AD-Synchronisierung wie erwartet funktionieren. Die konfigurierbare AD-Synchronisierung ändert die Reihenfolge, in der Benutzer- und Gruppenzuweisungen und -bereitstellungen erfolgen, und die Art und Weise, wie Abfragen ausgeführt werden.
+ **Konfigurierbare AD-Synchronisierung** — Die Bereitstellung erfolgt zuerst und nicht automatisch. Stattdessen müssen Sie zuerst Benutzer und Gruppen explizit zum Identitätsspeicher hinzufügen, indem Sie sie Ihrem Synchronisierungsbereich hinzufügen. Informationen zu den empfohlenen Schritten zur Automatisierung Ihrer Synchronisierungskonfiguration für die konfigurierbare AD-Synchronisierung finden Sie unter[Automatisieren Sie Ihre Synchronisierungskonfiguration für eine konfigurierbare AD-Synchronisierung](automate-sync-configuration-configurable-ADsync.md).
**Topics**
+ [
## Voraussetzungen und Überlegungen
](#prerequisites-configurable-ADsync)
+ [
# So funktioniert die konfigurierbare AD-Synchronisierung
](how-it-works-configurable-ADsync.md)
+ [
# Konfigurieren Sie Attributzuordnungen für Ihre Synchronisierung
](manage-sync-configure-attribute-mapping-configurable-ADsync.md)
+ [
# Einrichtung der erstmaligen Synchronisierung von Active Directory mit IAM Identity Center
](manage-sync-configurable-ADsync.md)
+ [
# Fügen Sie Benutzer und Gruppen zu Ihrem Synchronisierungsbereich hinzu
](manage-sync-add-users-groups-configurable-ADsync.md)
+ [
# Entfernen Sie Benutzer und Gruppen aus Ihrem Synchronisierungsbereich
](manage-sync-remove-users-groups-configurable-ADsync.md)
+ [
# Unterbrechen Sie die Synchronisierung und setzen Sie sie fort
](manage-sync-pause-resume-sync-configurable-ADsync.md)
+ [
# Automatisieren Sie Ihre Synchronisierungskonfiguration für eine konfigurierbare AD-Synchronisierung
](automate-sync-configuration-configurable-ADsync.md)
# So funktioniert die konfigurierbare AD-Synchronisierung
IAM Identity Center aktualisiert die AD-basierten Identitätsdaten im Identitätsspeicher mithilfe des folgenden Verfahrens. Weitere Informationen zu den Voraussetzungen finden Sie unter. [Voraussetzungen und Überlegungen](provision-users-from-ad-configurable-ADsync.md#prerequisites-configurable-ADsync)
## Erstellung
Nachdem Sie Ihr selbstverwaltetes Verzeichnis in Active Directory oder Ihr von Directory Service IAM Identity Center verwaltetes AWS Managed Microsoft AD Verzeichnis verbunden haben, können Sie die Active Directory-Benutzer und -Gruppen, die Sie mit dem IAM Identity Center-Identitätsspeicher synchronisieren möchten, explizit konfigurieren. Die von Ihnen ausgewählten Identitäten werden etwa alle drei Stunden mit dem IAM Identity Center-Identitätsspeicher synchronisiert. Je nach Größe Ihres Verzeichnisses kann der Synchronisierungsvorgang länger dauern.
Gruppen, die Mitglieder anderer Gruppen sind (sogenannte *verschachtelte Gruppen* oder *untergeordnete Gruppen*), werden ebenfalls in den Identitätsspeicher geschrieben.
Sie können neuen Benutzern oder Gruppen erst Zugriff zuweisen, nachdem sie mit dem IAM Identity Center-Identitätsspeicher synchronisiert wurden.
## Aktualisierung
Die Identitätsdaten im IAM Identity Center-Identitätsspeicher bleiben aktuell, da regelmäßig Daten aus dem Quellverzeichnis in Active Directory gelesen werden. IAM Identity Center synchronisiert standardmäßig stündlich Daten aus Ihrem Active Directory in einem Synchronisierungszyklus. Je nach Größe Ihres Active Directory kann es 30 Minuten bis 2 Stunden dauern, bis die Daten mit IAM Identity Center synchronisiert sind.
Benutzer- und Gruppenobjekte, die sich im Synchronisierungsbereich befinden, und ihre Mitgliedschaften werden in IAM Identity Center erstellt oder aktualisiert, sodass sie den entsprechenden Objekten im Quellverzeichnis in Active Directory zugeordnet werden. Bei Benutzerattributen wird nur die Teilmenge der Attribute, die im Abschnitt **Attribute für die Zugriffskontrolle** der IAM Identity Center-Konsole aufgeführt sind, in IAM Identity Center aktualisiert. Es kann einen Synchronisierungszyklus dauern, bis alle Attributaktualisierungen, die Sie in Active Directory vornehmen, in IAM Identity Center übernommen werden.
Sie können auch die Teilmenge der Benutzer und Gruppen aktualisieren, die Sie mit dem IAM Identity Center-Identitätsspeicher synchronisieren. Sie können wählen, ob Sie dieser Teilmenge neue Benutzer oder Gruppen hinzufügen oder sie entfernen möchten. Alle Identitäten, die Sie hinzufügen, werden bei der nächsten geplanten Synchronisierung synchronisiert. Identitäten, die Sie aus der Teilmenge entfernen, werden nicht mehr im IAM Identity Center-Identitätsspeicher aktualisiert. Jeder Benutzer, der länger als 28 Tage nicht synchronisiert wurde, wird im IAM Identity Center-Identitätsspeicher deaktiviert. Die entsprechenden Benutzerobjekte werden während des nächsten Synchronisierungszyklus automatisch im IAM Identity Center-Identitätsspeicher deaktiviert, sofern sie nicht Teil einer anderen Gruppe sind, die immer noch Teil des Synchronisierungsbereichs ist.
## Löschung
Benutzer und Gruppen werden aus dem IAM Identity Center-Identitätsspeicher gelöscht, wenn die entsprechenden Benutzer- oder Gruppenobjekte aus dem Quellverzeichnis in Active Directory gelöscht werden. Alternativ können Sie Benutzerobjekte mithilfe der IAM Identity Center-Konsole explizit aus dem IAM Identity Center-Identitätsspeicher löschen. Wenn Sie die IAM Identity Center-Konsole verwenden, müssen Sie die Benutzer auch aus dem Synchronisierungsbereich entfernen, um sicherzustellen, dass sie beim nächsten Synchronisierungszyklus nicht erneut mit IAM Identity Center synchronisiert werden.
Sie können die Synchronisation auch jederzeit unterbrechen und neu starten. Wenn Sie die Synchronisation für mehr als 28 Tage unterbrechen, werden alle Ihre Benutzer deaktiviert.
# Konfigurieren Sie Attributzuordnungen für Ihre Synchronisierung
Weitere Informationen zu verfügbaren Attributen finden Sie unter. [Attributzuordnungen zwischen dem IAM Identity Center und dem Verzeichnis externer Identitätsanbieter](attributemappingsconcept.md)
**So konfigurieren Sie Attributzuordnungen in IAM Identity Center zu Ihrem Verzeichnis**
1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).
1. Wählen Sie **Einstellungen** aus.
1. **Wählen Sie auf der Seite **„Einstellungen**“ die Registerkarte „**Identitätsquelle**“, dann „**Aktionen**“ und anschließend „Synchronisation verwalten“.**
1. Wählen **Sie unter Synchronisation verwalten** die Option **Attributzuordnung anzeigen** aus.
1. Konfigurieren Sie unter **Active Directory-Benutzerattribute** die **IAM Identity Center-Identitätsspeicherattribute** und die **Active Directory-Benutzerattribute**. Beispielsweise möchten Sie möglicherweise das IAM Identity Center-Identitätsspeicherattribut `email` dem Active Directory-Benutzerverzeichnisattribut zuordnen. `${objectguid}`
**Anmerkung**
Unter **Gruppenattribute** können die **IAM Identity Center-Identitätsspeicherattribute** und die **Active Directory-Gruppenattribute** nicht geändert werden.
1. Wählen Sie **Änderungen speichern ** aus. Dadurch kehren Sie zur Seite „**Sync verwalten**“ zurück.
# Einrichtung der erstmaligen Synchronisierung von Active Directory mit IAM Identity Center
Gehen Sie wie folgt vor, wenn Sie Ihre Benutzer und Gruppen zum ersten Mal aus Active Directory mit dem IAM Identity Center synchronisieren. Alternativ können Sie den unter beschriebenen Schritten folgen, [Ändern Sie Ihre Identitätsquelle](manage-your-identity-source-change.md) um Ihre Identitätsquelle von IAM Identity Center auf Active Directory zu ändern.
## Geführte Einrichtung
1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).
**Anmerkung**
Stellen Sie sicher, dass die IAM Identity Center-Konsole eines der Verzeichnisse verwendet, AWS-Regionen in dem sich Ihr AWS Managed Microsoft AD Verzeichnis befindet, bevor Sie mit dem nächsten Schritt fortfahren.
1. Wählen Sie **Einstellungen** aus.
1. Wählen Sie oben auf der Seite in der Benachrichtigung die Option **Geführte Installation starten** aus.
1. Überprüfen Sie in **Schritt 1 — *optional*: Attributzuordnungen konfigurieren** die standardmäßigen Benutzer- und Gruppenattributzuordnungen. **Wenn keine Änderungen erforderlich sind, wählen Sie Weiter.** Wenn Änderungen erforderlich sind, nehmen Sie die Änderungen vor und wählen Sie dann **Änderungen speichern**.
1. Wählen Sie in **Schritt 2 — *optional*: Synchronisierungsbereich konfigurieren** die Registerkarte **Benutzer** aus. Geben Sie dann den genauen Benutzernamen des Benutzers ein, den Sie zu Ihrem Synchronisierungsbereich hinzufügen möchten, und wählen Sie **Hinzufügen**. Wählen Sie als Nächstes die Registerkarte **Gruppen**. Geben Sie den genauen Gruppennamen der Gruppe ein, die Sie zu Ihrem Synchronisierungsbereich hinzufügen möchten, und wählen Sie **Hinzufügen**. Wählen Sie anschließend **Weiter**. Wenn Sie später Benutzer und Gruppen zu Ihrem Synchronisierungsbereich hinzufügen möchten, nehmen Sie keine Änderungen vor und wählen Sie **Weiter**.
1. Bestätigen Sie in **Schritt 3: Konfiguration überprüfen und speichern** Sie Ihre **Attributzuordnungen** in **Schritt 1: Attributzuordnungen** und Ihre **Benutzer und Gruppen** in **Schritt 2**: Synchronisierungsbereich. Wählen Sie **Save configuration (Konfiguration speichern)** aus. **Dadurch gelangen Sie zur Seite „Sync verwalten“.**
# Fügen Sie Benutzer und Gruppen zu Ihrem Synchronisierungsbereich hinzu
**Anmerkung**
Wenn Sie Gruppen zu Ihrem Synchronisierungsbereich hinzufügen, synchronisieren Sie Gruppen direkt aus der vertrauenswürdigen lokalen Domäne und nicht aus Gruppen in der AWS Managed Microsoft AD Domäne. Gruppen, die direkt von der vertrauenswürdigen Domain aus synchronisiert wurden, enthalten tatsächliche Benutzerobjekte, auf die IAM Identity Center zugreifen und die erfolgreich synchronisiert werden können.
Gehen Sie wie folgt vor, um Ihre Active Directory-Benutzer und -Gruppen zu IAM Identity Center hinzuzufügen.
**So fügen Sie Benutzer hinzu**
1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).
1. Wählen Sie **Einstellungen** aus.
1. Wählen Sie auf der Seite „**Einstellungen**“ die Registerkarte „**Identitätsquelle**“, dann „**Aktionen**“ und anschließend „**Synchronisation verwalten**“.
1. Wählen Sie auf der Seite „**Synchronisation verwalten**“ die Registerkarte „**Benutzer**“ und dann „**Benutzer und Gruppen hinzufügen**“ aus.
1. Geben Sie auf der Registerkarte **Benutzer** unter **Benutzer** den genauen Benutzernamen ein und wählen Sie **Hinzufügen** aus.
1. Überprüfen Sie unter **Hinzugefügte Benutzer und Gruppen** den Benutzer, den Sie hinzufügen möchten.
1. Wählen Sie **Absenden** aus.
1. Klicken Sie im Navigationsbereich auf **Users (Benutzer)**. Wenn der von Ihnen angegebene Benutzer nicht in der Liste angezeigt wird, wählen Sie das Aktualisierungssymbol, um die Benutzerliste zu aktualisieren.
**Um Gruppen hinzuzufügen**
1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).
1. Wählen Sie **Einstellungen** aus.
1. Wählen Sie auf der Seite „**Einstellungen**“ die Registerkarte „**Identitätsquelle**“, dann „**Aktionen**“ und anschließend „**Synchronisation verwalten**“ aus.
1. Wählen Sie auf der Seite „**Synchronisation verwalten**“ den Tab **Gruppen** und dann **Benutzer und Gruppen hinzufügen** aus.
1. Wählen Sie die Registerkarte **Groups (Gruppen)**. Geben Sie unter **Gruppe** den genauen Gruppennamen ein und wählen Sie **Hinzufügen** aus.
1. Überprüfen Sie unter **Hinzugefügte Benutzer und Gruppen** die Gruppe, die Sie hinzufügen möchten.
1. Wählen Sie **Absenden** aus.
1. Wählen Sie im Navigationsbereich die Option ** Groups (Gruppen)**. Wenn die von Ihnen angegebene Gruppe nicht in der Liste angezeigt wird, wählen Sie das Aktualisierungssymbol, um die Gruppenliste zu aktualisieren.
# Entfernen Sie Benutzer und Gruppen aus Ihrem Synchronisierungsbereich
Weitere Informationen darüber, was passiert, wenn Sie Benutzer und Gruppen aus Ihrem Synchronisierungsbereich entfernen, finden Sie unter[So funktioniert die konfigurierbare AD-Synchronisierung](how-it-works-configurable-ADsync.md).
**Um Benutzer zu entfernen**
1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).
1. Wählen Sie **Einstellungen** aus.
1. Wählen Sie auf der Seite „**Einstellungen**“ die Registerkarte „**Identitätsquelle**“, dann „**Aktionen**“ und anschließend „**Synchronisation verwalten**“ aus.
1. Wählen Sie die Registerkarte **Users**.
1. Aktivieren Sie unter **Benutzer im Synchronisierungsbereich** das Kontrollkästchen neben dem Benutzer, den Sie löschen möchten. Um alle Benutzer zu löschen, aktivieren Sie das Kontrollkästchen neben **Benutzername**.
1. Wählen Sie **Remove (Entfernen)** aus.
**Um Gruppen zu entfernen**
1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).
1. Wählen Sie **Einstellungen** aus.
1. Wählen Sie auf der Seite „**Einstellungen**“ die Registerkarte „**Identitätsquelle**“, dann „**Aktionen**“ und anschließend „**Synchronisation verwalten**“ aus.
1. Wählen Sie die Registerkarte **Groups (Gruppen)**.
1. Aktivieren Sie unter **Gruppen im Synchronisierungsbereich** das Kontrollkästchen neben dem Benutzer, den Sie löschen möchten. Um alle Gruppen zu löschen, aktivieren Sie das Kontrollkästchen neben **Gruppenname**.
1. Wählen Sie **Remove (Entfernen)** aus.
# Unterbrechen Sie die Synchronisierung und setzen Sie sie fort
Wenn Sie Ihre Synchronisierung unterbrechen, werden alle future Synchronisierungszyklen angehalten und verhindert, dass Änderungen, die Sie an Benutzern und Gruppen in Active Directory vornehmen, in IAM Identity Center widergespiegelt werden. Nachdem Sie die Synchronisierung wieder aufgenommen haben, übernimmt der Synchronisierungszyklus diese Änderungen ab der nächsten geplanten Synchronisierung.
**Um die Synchronisierung anzuhalten**
1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).
1. Wählen Sie **Einstellungen** aus.
1. Wählen Sie auf der Seite „**Einstellungen**“ den Tab „**Identitätsquelle**“, dann „**Aktionen**“ und anschließend „**Synchronisation verwalten**“ aus.
1. Wählen **Sie unter „Synchronisierung verwalten**“ die Option „**Synchronisierung unterbrechen**“ aus.
**Um die Synchronisierung fortzusetzen**
1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).
1. Wählen Sie **Einstellungen** aus.
1. Wählen Sie auf der Seite „**Einstellungen**“ den Tab „**Identitätsquelle**“, dann „**Aktionen**“ und anschließend „**Synchronisation verwalten**“ aus.
1. Wählen **Sie unter Synchronisierung verwalten** die Option **Synchronisierung fortsetzen** aus.
**Anmerkung**
Wenn Sie „**Synchronisierung unterbrechen**“ statt „**Synchronisierung fortsetzen**“ sehen, wurde die Synchronisierung von Active Directory mit IAM Identity Center bereits wieder aufgenommen.
# Automatisieren Sie Ihre Synchronisierungskonfiguration für eine konfigurierbare AD-Synchronisierung
Um sicherzustellen, dass Ihr automatisierter Workflow mit konfigurierbarer AD-Synchronisierung wie erwartet funktioniert, empfehlen wir Ihnen, die folgenden Schritte durchzuführen, um Ihre Synchronisierungskonfiguration zu automatisieren.
**Um Ihre Synchronisierungskonfiguration für die konfigurierbare AD-Synchronisierung zu automatisieren**
1. Erstellen Sie in Active Directory eine *übergeordnete Synchronisierungsgruppe*, die alle Benutzer und Gruppen enthält, die Sie mit IAM Identity Center synchronisieren möchten. Sie können der Gruppe *IAMIdentityCenterAllUsersAndGroups*beispielsweise einen Namen geben.
1. Fügen Sie in IAM Identity Center die übergeordnete Synchronisierungsgruppe zu Ihrer konfigurierbaren Synchronisierungsliste hinzu. IAM Identity Center synchronisiert alle Benutzer, Gruppen, Untergruppen und Mitglieder aller Gruppen, die in der übergeordneten Synchronisierungsgruppe enthalten sind.
1. Verwenden Sie die von Microsoft bereitgestellten API-Aktionen für die Active Directory-Benutzer- und Gruppenverwaltung, um Benutzer und Gruppen zur übergeordneten Synchronisierungsgruppe hinzuzufügen oder daraus zu entfernen.