本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 通过 Microsoft Entra ID 和 IAM Identity Center 配置 SAML 和 SCIM
<a name="idp-microsoft-entra"></a>

AWS IAM Identity Center 支持与[安全断言标记语言 (SAML) 2.0](scim-profile-saml.md) 集成，以及使用[跨域身份管理系统 (SCIM) 2.0 协议将来自Microsoft Entra ID（以前称为Azure Active Directory或Azure AD）的用户和群组信息[自动配置](provision-automatically.md)（同步）到 IAM Identity C](scim-profile-saml.md#scim-profile) enter。有关更多信息，请参阅 [对外部身份提供者使用 SAML 和 SCIM 身份联合验证](other-idps.md)。

**目标**

在本教程中，您将设置测试实验室，并配置 Microsoft Entra ID 和 IAM Identity Center 之间的 SAML 连接和 SCIM 预置。在最初的准备步骤中，您将在 Microsoft Entra ID 和 IAM Identity Center 中创建一名测试用户 (Nikki Wolf)，用于双向测试 SAML 连接。稍后，作为 SCIM 步骤的一部分，您将创建一个不同的测试用户 (Richard Roe)，以验证 Microsoft Entra ID 中的新属性是否按预期同步到 IAM Identity Center。

## 先决条件
<a name="prereqs-entra"></a>

在开始本教程之前，您首先需要设置以下方面：
+ Microsoft Entra ID 租户。有关更多信息，请参阅 Microsoft 文档中的[快速入门：设置租户](https://docs.microsoft.com/en-us/azure/active-directory/develop/quickstart-create-new-tenant)。
+  AWS IAM Identity Center已启用的账户。有关更多信息，请参阅 *AWS IAM Identity Center 用户指南*中的[启用 IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-enable-identity-center.html)。

## 注意事项
<a name="entra-scim-considerations"></a>

以下是有关 Microsoft Entra ID 的重要注意事项，它们将影响您计划如何在生产环境中使用 SCIM v2 协议通过 IAM Identity Center 实施[自动预置](provision-automatically.md)。

**自动预置**

在开始部署 SCIM 之前，我们建议您首先查看 [使用自动预置的注意事项](provision-automatically.md#auto-provisioning-considerations)。

**访问控制属性**

用于访问控制的属性用于权限策略，这些策略决定了您的身份源中的谁可以访问您的 AWS 资源。如果在 Microsoft Entra ID 中从用户中删除属性，则不会从 IAM Identity Center 中的相应用户中删除该属性。这是 Microsoft Entra ID 中已知的限制。如果用户的属性更改为不同的（非空）值，则该更改将同步到 IAM Identity Center。

**嵌套组**

Microsoft Entra ID 用户预置服务无法读取或预置嵌套组中的用户。只能读取和预置属于明确分配组的直接成员的用户。Microsoft Entra ID 不会以递归方式解包间接分配的用户或组（属于直接分配的组的成员的用户或组）的组成员身份。有关更多信息，请参阅 Microsoft 文档中的[基于分配的范围界定](https://learn.microsoft.com/en-us/azure/active-directory/app-provisioning/how-provisioning-works#assignment-based-scoping)。您也可以使用 [IAM Identity Center 可配置 AD 同步](https://aws.amazon.com/blogs//security/managing-identity-source-transition-for-aws-iam-identity-center/)功能将 Active Directory 组与 IAM Identity Center 集成。

**动态组**

Microsoft Entra ID 用户预置服务可以读取和预置[动态组](https://learn.microsoft.com/en-us/azure/active-directory/enterprise-users/groups-create-rule)中的用户。请参阅下面的示例，该示例显示使用动态组时的用户和组结构以及它们在 IAM Identity Center 中的显示方式。这些用户和组通过 SCIM 从 Microsoft Entra ID 配置到 IAM Identity Center

例如，如果动态组的 Microsoft Entra ID 结构如下：

1. A 组，成员 ua1、ua2

1. B 组，成员 ub1

1. C 组，成员 uc1

1. K组规则包括 A、B、C 组成员

1. L 组，规则包括 B 组和 C 组成员

将 Microsoft Entra ID 中的用户和组信息通过 SCIM 预置到 IAM Identity Center 后，结构如下：

1. A 组，成员 ua1、ua2

1. B 组，成员 ub1

1. C 组，成员 uc1

1. K 组，成员 ua1、ua2、ub1、uc1

1. L组，成员 ub1、uc1

使用动态组配置自动预置时，请记住以下注意事项。
+ 动态组可以包括嵌套组。但是，Microsoft Entra ID 预置服务不会扁平化嵌套组。例如，如果您具有以下动态组 Microsoft Entra ID 结构：
  + A 组是 B 组的父组。
  + A 组有 ua1 成员。
  + B 组有 ub1 作为成员。

包含组 A 的动态组将仅包含组 A 的直接成员（即 ua1）。它不会以递归方式包含 B 组的成员。
+ 动态组不能包含其他动态组。有关更多信息，请参阅 Microsoft 文档中的[预览限制](https://learn.microsoft.com/en-us/azure/active-directory/enterprise-users/groups-dynamic-rule-member-of#preview-limitations)。

## 步骤 1：准备 Microsoft 租户
<a name="step1-entra-microsoft-prep"></a>

在本步骤中，您将介绍如何安装和配置 AWS IAM Identity Center 企业应用程序以及如何为新创建的Microsoft Entra ID测试用户分配访问权限。

------
#### [ Step 1.1 > ]

**步骤 1.1：在中设置 AWS IAM Identity Center 企业应用程序 Microsoft Entra ID**

在此过程中，您将在中安装 AWS IAM Identity Center 企业应用程序Microsoft Entra ID。稍后您将需要此应用程序来配置您的 SAML 连接。 AWS

1. 至少以云应用程序管理员的身份登录 [Microsoft Entra 管理中心](https://entra.microsoft.com/)。

1. 导航到**身份 > 应用程序 > 企业应用程序**，然后选择**新应用程序**。

1. 在**浏览 Microsoft Entra Gallery**页面上，在搜索框中输入 ****AWS IAM Identity Center****。

1. 从结果中选择 **AWS IAM Identity Center**。

1. 选择**创建**。

------
#### [ Step 1.2 > ]

**步骤 1.2：在 Microsoft Entra ID 中创建测试用户**

Nikki Wolf 是您在此过程中创建的 Microsoft Entra ID 测试用户姓名。

1. 在 [Microsoft Entra 管理中心](https://entra.microsoft.com/)控制台，导航到**身份 > 用户 > 所有用户**。

1. 选择**新用户**，然后选择屏幕顶部的**创建新用户**。

1. 在**用户主体名称**中，输入 ****NikkiWolf****，然后选择您喜欢的域和扩展。例如，*NikkiWolf*@ *example.org*。

1. 在**显示名称**中，输入 ****NikkiWolf****。

1. 在**密码**中输入高强度密码，或选择眼睛图标，显示自动生成的密码，然后复制或写下显示的值。

1. 选择**属性**，在**名字**中输入 ****Nikki****。在**姓氏**中，输入 ****Wolf****。

1. 选择**审核并创建**，然后选择**创建**。

------
#### [ Step 1.3 ]

**步骤 1.3：在 Nikki 分配权限之前，先测试 Nikki 的体验 AWS IAM Identity Center**

在此过程中，您将验证 Nikki 可以成功登录其 Microsoft [我的账户门户](https://myaccount.microsoft.com/)中的哪些内容。

1. 在同一个浏览器中打开新标签页，前往[我的账户门户](https://myaccount.microsoft.com/)登录页面，然后输入 Nikki 的完整电子邮件地址。例如，*NikkiWolf*@ *example.org*。

1. 出现提示时，输入 Nikki 的密码，然后选择**登录**。如果密码是自动生成的，系统将提示您更改密码。

1. 在**需要执行的操作**页面，选择**稍后询问**，绕过关于其他安全方法的提示。

1. 在**我的账户**页面的左侧导航窗格中，选择**我的应用程序**。请注意，除**加载项**外，此时不会显示任何应用程序。您将添加一个 **AWS IAM Identity Center** 应用程序，在稍后的步骤中，其将显示在此处。

------
#### [ Step 1.4 ]

**步骤 1.4：在 Microsoft Entra ID 中向 Nikki 分配权限**

现在您已验证 Nikki 可以成功访问**我的账户门户**，请使用此过程将其用户分配至 **AWS IAM Identity Center** 应用程序。

1. 在 [Microsoft Entra 管理中心](https://entra.microsoft.com/)控制台，导航到**身份 > 应用程序 > 企业应用程序**，然后从列表中选择 **AWS IAM Identity Center**。

1. 在左侧，选择**用户和组**。

1. 选择**添加用户/组**。您可以忽略组不可用于分配的消息。此教程不使用组进行分配。

1. 在**添加分配**页面，在**用户**下选择**未选择任何对象**。

1. 选择 **NikkiWolf**，然后选择 **“选择”**。

1. 在**添加作业**页面上，选择**分配**。 NikkiWolf 现在出现在分配给该**AWS IAM Identity Center**应用程序的用户列表中。

------

## 第 2 步：准备 AWS 账户
<a name="step2-entra-aws-prep"></a>

在本步骤中，您将了解如何使用 **IAM Identity Center** 配置访问权限（通过权限集），手动创建相应的 Nikki Wolf 用户，并为其分配管理 AWS资源所需的权限。

------
#### [ Step 2.1 > ]

**步骤 2.1：在中创建 RegionalAdmin 权限集 IAM Identity Center**

此权限集将用于向Nikki授予必要的 AWS 账户权限，以便从中的**账户**页面管理区域。 AWS 管理控制台默认将拒绝其他所有查看或管理 Nikki 账户其他任何信息的权限。

1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。

1. 在**多帐户权限**下，选择**权限集**。

1. 选择**创建权限集**。

1. 在**选择权限集类型**页面，选择**自定义权限集**，然后选择**下一步**。

1. 选择**内联策略**，将其展开，然后使用以下步骤为权限集创建策略：

   1. 选择**添加新声明**，以创建策略语句。

   1. 在**编辑语句**下，从列表中选择**账户**，然后选中以下复选框。
      + **`ListRegions`**
      + **`GetRegionOptStatus`**
      + **`DisableRegion`**
      + **`EnableRegion`**

   1. 在**添加资源**旁边，选择**添加**。

   1. 在**添加资源**页面的**资源类型**下，选择**所有资源**，然后选择**添加资源**。验证您的策略是否如下所示：

      ```
      {
          "Statement": [
              {
                  "Sid": "Statement1",
                  "Effect": "Allow",
                  "Action": [
                      "account:ListRegions",
                      "account:DisableRegion",
                      "account:EnableRegion",
                      "account:GetRegionOptStatus"
                  ],
                  "Resource": [
                      "*"
                  ]
              }
          ]
      }
      ```

1. 选择**下一步**。

1. 在**指定权限集详细信息**页面的**权限集名称**下，输入 ****RegionalAdmin****，然后选择**下一步**。

1. 在**审核和创建**页面，选择**创建**。您应该看到权限集列表中**RegionalAdmin**显示了内容。

------
#### [ Step 2.2 > ]

**步骤 2.2：在中创建相应的 NikkiWolf 用户 IAM Identity Center**

由于 SAML 协议不提供查询 IdP (Microsoft Entra ID) 并在 IAM Identity Center 自动创建用户的机制，因此请使用以下过程在 IAM Identity Center 手动创建同步了 Microsoft Entra ID 中 Nikki Wolfs 用户核心属性的用户。

1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。

1. 选择**用户**，选择**添加用户**，然后提供以下信息：

   1. 对于**用户名**和**电子邮件地址**-输入您在创建Microsoft Entra ID用户时使用的相同 ****NikkiWolf**@ *yourcompanydomain.extension***。例如，*NikkiWolf*@ *example.org*。

   1. **确认电子邮件地址** - 重新输入上一步中的电子邮件地址

   1. **名字** - 输入 ****Nikki****

   1. **姓氏** - 输入 ****Wolf****

   1. **显示名称** – 输入 ****Nikki Wolf****

1. 选择两次**下一步**，然后选择**添加用户**。

1. 选择**关闭**。

------
#### [ Step 2.3 ]

**步骤 2.3：将 Nikki 分配给中设置的 RegionalAdmin 权限 IAM Identity Center**

在这里， AWS 账户 您可以找到 Nikki 将在其中管理区域，然后为她分配成功 AWS 访问门户所需的必要权限。

1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。

1. 在**多帐户权限**下，选择 **AWS 账户**。

1. 选中要授予 Nikki 管理区域权限的账户名（例如*Sandbox*）旁边的复选框，然后选择 “**分配用户和群组**”。

1. 在**分配用户和组**页面，选择**用户**选项卡，找到并选中 Nikki 旁边的复选框，然后选择**下一步**。

1.   
**Example**  

1. 在**查看并提交**页面上，查看您的选择，然后选择**提交**。

------

## 步骤 3：配置和测试 SAML 连接
<a name="step3-entra-saml"></a>

在此步骤中，您将使用 AWS IAM Identity Center 企业应用程序和 IAM Identity Cent Microsoft Entra ID er 中的外部 IdP 设置来配置 SAML 连接。<a name="step3-1"></a>

------
#### [ Step 3.1 > ]

**步骤 3.1：从 IAM Identity Center 收集所需的服务提供商元数据**

在此步骤中，您将从 IAM Identity Center 控制台中启动**更改身份源**向导，并检索元数据文件和Microsoft Entra ID在下一步配置连接时需要输入的 AWS 特定登录 URL。

1. 在 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)中，选择**设置**。

1. 在**设置**页面上，选择**身份源**选项卡，然后选择**操作>更改身份源**。

1. 在**选择身份源**页面，选择**外部身份提供商**，然后选择**下一步**。

1. 在 “**配置外部身份提供商**” 页面上，在 “**服务提供者元数据**” 下，选择 “**默认**” IPv4 或 “**双栈**”。完成身份源更改后，您可以下载服务提供商元数据文件。

1. 在同一部分，找到 **AWS 访问门户登录 URL** 的值，并复制它。在下一步出现提示时，您需要输入该值。

1. 将此页保持打开状态，然后转到下一步 (**`Step 3.2`**)，在中配置 AWS IAM Identity Center 企业应用程序Microsoft Entra ID。稍后，您将返回此页面，完成整个过程。

------
#### [ Step 3.2 > ]<a name="step3-2"></a>

**步骤 3.2：在中配置 AWS IAM Identity Center 企业应用程序 Microsoft Entra ID**

此过程使用您在上一步获得的元数据文件和登录 URL 的值，在 Microsoft 端完成一半的 SAML 连接设置。

1. 在 [Microsoft Entra 管理中心](https://entra.microsoft.com/)控制台，导航到**身份 > 应用程序 > 企业应用程序**，然后选择 **AWS IAM Identity Center**。

1. 在左侧选择 **2. 设置单点登录**。

1. 在**设置 SAML 单点登录**页面，选择 **SAML**。然后选择**上传元数据文件**，选择文件夹图标，选择您在上一步中下载的服务提供商元数据文件，然后选择**添加**。

1. 在 “**基本 SAML 配置**” 页面上，验证**标识符**和**回复 URL（断言使用者服务 URL）**值现在是否都指向中的端点。 AWS
   + **标识符**-这是来自 IAM 身份中心的**颁发者 URL**。无论您使用的是 IPv4仅限端点还是双栈端点，都适用相同的值。
   + **回复 URL（断言消费者服务 URL）**-此处的值包括来自 IAM 身份 IPv4中心所有已启用区域的仅限终端节点和双栈终端节点。您可以使用主要区域的 ACS URL 作为默认区域，这样当用户从中启动 Amazon Web Services 应用程序时，他们就会被重定向到主要区域Microsoft Entra ID。有关 ACS 的更多信息 URLs，请参阅[主端点和附加端点中的 ACS 端点 AWS 区域](multi-region-workforce-access.md#acs-endpoints)。
   + （可选）如果您将 IAM Identity Center 复制到其他区域，则还可以在中Microsoft Entra ID为每个其他区域的 AWS 访问门户创建书签应用程序。这使您的用户能够从中 AWS 访问其他地区的访问门户Microsoft Entra ID。请务必向您的用户授予访问中的书签应用程序的权限Microsoft Entra ID。有关更多详细信息，请参阅[Microsoft Entra ID文档](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/configure-linked-sign-on)。如果您计划稍后将 IAM Identity Center 复制到其他区域，请访问以获取[Microsoft Entra ID用于访问其他区域的配置](#gs-microsoft-entra-multi-region)有关如何在初始设置后启用对其他区域的访问权限的指导。

1. 在**登录 URL（可选）**下，粘贴您在上一步（**`Step 3.1`**）复制的 **AWS 访问门户登录 URL** 值，选择**保存**，然后点击 **X** 关闭窗口。

1. 如果系统提示使用测试单点登录 AWS IAM Identity Center，请选择 “**否”，我稍后再测试**。您将在稍后的步骤中进行此项验证。

1. 在**设置 SAML 单点登录**页面的 **SAML 证书**部分，选择**联合身份验证元数据 XML** 旁边的**下载**，将元数据文件保存到您的系统中。在下一步出现提示时，您需要上传此文件。

------
#### [ Step 3.3 > ]

**步骤 3.3：在 AWS IAM Identity Center配置 Microsoft Entra ID 外部 IdP**

在这里，您将返回到 IAM Identity Center 控制台的**更改身份源**向导，完成 AWS中 SAML 连接设置的后半部分。

1. 返回在 **`Step 3.1`** 中，您在 IAM Identity Center 控制台中保留为打开状态的浏览器会话。

1. 在**配置外部身份提供商**页面的**身份提供商元数据**部分，选择 **IdP SAML 元数据**下的**选择文件**按钮，然后选择您在上一步从 Microsoft Entra ID 下载的身份提供商元数据文件，然后选择**打开**。

1. 选择**下一步**。

1. 在阅读免责声明并准备继续操作后，输入 ****ACCEPT****。

1. 选择**更改身份源**，以应用您的更改。

------
#### [ Step 3.4 > ]

**步骤 3.4：测试 Nikki 是否被重定向到 AWS 访问门户**

在此过程中，您将使用 Nikki 的凭证登录 Microsoft 的**我的账户门户**，测试 SAML 连接。通过身份验证后，您将选择将 Nikki 重定向到 AWS 访问门户的 AWS IAM Identity Center 应用程序。

1. 前往[我的账户门户](https://myaccount.microsoft.com/)登录页面，输入 Nikki 的完整电子邮件地址。例如，***NikkiWolf**@* *example.org*。

1. 出现提示时，输入 Nikki 的密码，然后选择**登录**。

1. 在**我的账户**页面的左侧导航窗格中，选择**我的应用程序**。

1. 在**我的应用程序**页面，选择名为 **AWS IAM Identity Center** 的应用程序。这应该会提示您进行额外的身份验证。

1. 在微软的登录页面上，选择你的 NikkiWolf 凭据。如果再次提示您进行身份验证，请再次选择您的 NikkiWolf 凭据。这会自动将您重定向到 AWS 访问门户。
**提示**  
如果您未成功重定向，请进行检查，确保您在 **`Step 3.2`** 中输入的 **AWS 访问门户登录 URL** 的值与您在 **`Step 3.1`** 中复制的值相匹配。

1. 确认您的 AWS 账户 显示屏。
**提示**  
如果页面为空且未 AWS 账户 显示，请确认 Nikki 已成功分配给**RegionalAdmin**权限集（请参阅 **`Step 2.3`**）。

------
#### [ Step 3.5 ]

**步骤 3.5：测试 Nikki 对于管理其 AWS 账户的访问权限级别**

在此步骤中，您将进行检查，以确定 Nikki 对于管理其 AWS 账户区域设置的访问权限级别。Nikki 应该只有刚好足够的管理员权限，可从**账户**页面管理区域。

1. 在 AWS 访问门户中，选择**账户**选项卡以显示账户列表。将显示与您已定义权限集的任何帐户关联的帐户名 IDs、帐户和电子邮件地址。

1. 选择您应用权限集的帐户名（例如*Sandbox*）（请参阅 **`Step 2.3`**）。这将展开权限集列表，Nikki 可以从中选择，以管理其账户。

1. 接下来**RegionalAdmin**选择**管理控制台**来代入您在**RegionalAdmin**权限集中定义的角色。这会将您重定向至 AWS 管理控制台 主页。

1. 在控制台的右上角，选择您的账户名称，然后选择**账户**。您将进入**账户**页面。请注意，此页面上的所有其他部分都会显示一条消息，说明您没有查看或修改这些设置的必要权限。

1. 在**账户**页面，向下滚动至 **AWS 区域**部分。选中表格中任何可用区域的复选框。注意 Nikki 确实拥有必要的权限，可按预期为其账户**启用**或**禁用**区域列表。

**做得不错！**  
步骤 1 到步骤 3 帮助您成功实施并测试了 SAML 连接。现在，我们建议您继续执行步骤 4，实现自动预置，以完成本教程。

------

## 步骤 4：配置和测试 SCIM 同步
<a name="step4-entra-scim"></a>

在此步骤中，您将使用 SCIM v2.0 协议，设置将用户信息从 Microsoft Entra ID [自动预置](provision-automatically.md)（同步）到 IAM Identity Center。您可以使用 IAM Identity Center 的 SCIM 端点和 IAM Identity Center 自动创建的持有者令牌在 Microsoft Entra ID 中配置此连接。

配置 SCIM 同步时，您将创建从 Microsoft Entra ID 中的用户属性到 IAM Identity Center 中的命名属性的映射。这会导致 IAM Identity Center 和 Microsoft Entra ID 之间的预期属性匹配。

以下步骤将指导您使用 Microsoft Entra ID 中的 IAM Identity Center 应用程序，实现将主要驻留在 Microsoft Entra ID 中的用户自动预置到 IAM Identity Center。

------
#### [ Step 4.1 > ]

**步骤 4.1：在 Microsoft Entra ID 中创建第二名测试用户**

出于测试目的，您将在 Microsoft Entra ID 中创建新用户 (Richard Roe)。稍后，在设置 SCIM 同步后，您将测试此用户和所有相关属性是否已成功同步到 IAM Identity Center。

1. 在 [Microsoft Entra 管理中心](https://entra.microsoft.com/)控制台，导航到**身份 > 用户 > 所有用户**。

1. 选择**新用户**，然后选择屏幕顶部的**创建新用户**。

1. 在**用户主体名称**中，输入 ****RichRoe****，然后选择您喜欢的域和扩展。例如，*RichRoe*@ *example.org*。

1. 在**显示名称**中，输入 ****RichRoe****。

1. 在**密码**中输入高强度密码，或选择眼睛图标，显示自动生成的密码，然后复制或写下显示的值。

1. 选择**属性**，然后提供以下值：
   + **名字** - 输入 ****Richard****
   + **姓氏** - 输入 ****Roe****
   + **职位名称** - 输入 ****Marketing Lead****
   + **部门** - 输入 ****Sales****
   + **员工 ID** - 输入 ****12345****

1. 选择**审核并创建**，然后选择**创建**。

------
#### [ Step 4.2 > ]

**步骤 4.2：在 IAM Identity Center 启用自动预置**

在此过程中，您将使用 IAM Identity Center 控制台，实现将 Microsoft Entra ID 中的用户和组自动预置到 IAM Identity Center。

1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)，在左侧导航窗格中选择**设置**。

1. 在**设置**页面的**身份源**选项卡下，请注意**预置方法**已设置为**手动**。

1. 找到**自动预置**信息框，然后选择**启用**。这会立即在 IAM Identity Center 中启用自动预置，并显示必要的 SCIM 端点和访问令牌信息。

1. 在**入站自动预置**对话框中，复制以下选项的每个值。下一步在 Microsoft Entra ID 中配置预置时，您需要粘贴这些值。

   1. **SCIM 端点**-例如，
      + IPv4: `https://scim.aws-region.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2`
      + 双堆栈：`https://scim.aws-region.api.aws/11111111111-2222-3333-4444-555555555555/scim/v2`

   1. **访问令牌** - 选择**显示令牌**以复制该值。
**警告**  
这是唯一可以获取 SCIM 端点与访问令牌的机会。在继续操作之前，务必复制这些值。

1. 选择**关闭**。

1. 在**身份源**选项卡下，请注意**预置方法**现在设置为 **SCIM**。

------
#### [ Step 4.3 > ]

**步骤 4.3：在 Microsoft Entra ID 中配置自动预置**

现在，您的 RichRoe 测试用户已经准备就绪，并已在 IAM Identity Center 中启用了 SCIM，您可以继续在中配置 SCIM 同步设置。Microsoft Entra ID

1. 在 [Microsoft Entra 管理中心](https://entra.microsoft.com/)控制台，导航到**身份 > 应用程序 > 企业应用程序**，然后选择 **AWS IAM Identity Center**。

1. 选择**预置**，在**管理**下，再次选择**预置**。

1. 在**预置模式**下，选择**自动**。

1. 在**管理员凭证**下的**租户 URL** 中，粘贴您之前在 **`Step 4.2`** 中复制的 **SCIM 端点** URL 值。在**密钥令牌**中，粘贴**访问令牌**的值。

1. 选择**测试连接**。您应该会看到一条消息，表明经过测试的凭证已成功得到授权，可以启用预置。

1. 选择**保存**。

1. 在**管理**下，选择**用户和组**，然后选择**添加用户/组**。

1. 在**添加分配**页面，在**用户**下选择**未选择任何对象**。

1. 选择 **RichRoe**，然后选择 **“选择”**。

1. 在**添加分配**页面，选择**分配**。

1. 选择**概述**，然后选择**开始预置**。

------
#### [ Step 4.4 ]

**步骤 4.4：验证是否已进行同步**

在本节中，您将验证 Richard 的用户是否已成功预置，并且所有属性均显示在 IAM Identity Center 中。

1. 在 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)中，选择**用户**。

1. 在 “**用户**” 页面上，您应该会看到显示您的**RichRoe**用户。请注意，在**创建者**列，值将设置为 **SCIM**。

1. 选择 “**配置文件**” 下 **RichRoe**，确认以下属性是从中复制的Microsoft Entra ID。
   + **名字** - ****Richard****
   + **姓氏** - ****Roe****
   + **部门** - ****Sales****
   + **职位** - ****Marketing Lead****
   + **员工编号** - ****12345****

   现在，Richard 的用户已在 IAM Identity Center 中创建，您可以将其分配给任何权限集，这样您就可以控制他对您 AWS 资源的访问权限级别。例如，您可以分配**RichRoe**给之前使用的**RegionalAdmin**权限集，授予 Nikki 管理区域的权限（请参阅 **`Step 2.3`**），然后使用**`Step 3.5`**测试其访问级别。

**恭喜您！**  
你已成功在 Microsoft 和 Microsoft 之间建立了 SAML 连接， AWS 并已验证自动配置可以使所有内容保持同步。现在，您可以运用所学到的方法，更顺利地设置生产环境。

------

## 步骤 5：配置 ABAC – *可选*
<a name="step5-entra-abac"></a>

现在，您已成功配置了 SAML 和 SCIM，可以选择配置基于属性的访问权限控制 (ABAC)。ABAC 是一种基于属性定义权限的授权策略。

通过 Microsoft Entra ID，您可以使用以下两种方法中的任何一种配置 ABAC，与 IAM Identity Center 配合使用。

------
#### [ Configure user attributes in Microsoft Entra ID for access control in IAM Identity Center ]

**在 Microsoft Entra ID 中配置用户属性，用于 IAM Identity Center 的访问控制**

在以下步骤中，您将确定 IAM Identity Center Microsoft Entra ID 应使用中的哪些属性来管理对您的 AWS 资源的访问权限。定义后，Microsoft Entra ID 通过 SAML 断言将这些属性发送到 IAM Identity Center。然后，您需要在 IAM Identity Center 中 [创建权限集](howtocreatepermissionset.md) 根据您从 Microsoft Entra ID 传递的属性来管理访问权限。

在开始此过程之前，您首先需要启用 [访问控制属性](attributesforaccesscontrol.md) 功能。有关此操作的详细信息，请参阅 [启用并配置访问控制属性](configure-abac.md)。

1. 在 [Microsoft Entra 管理中心](https://entra.microsoft.com/)控制台，导航到**身份 > 应用程序 > 企业应用程序**，然后选择 **AWS IAM Identity Center**。

1. 选择 **Single sign-on**（单点登录）。

1. 在**属性和声明**部分，选择**编辑**。

1. 在**属性和声明**页面，执行以下操作：

   1. 选择**添加新声明**

   1. 对于**名称**，请输入 `AccessControl:AttributeName`。*AttributeName* 替换为您在 IAM Identity Center 中期望的属性的名称。例如 `AccessControl:Department`。

   1. 对于**命名空间**，请输入 ****https://aws.amazon.com/SAML/Attributes****。

   1. 对于**源**，请选择**属性**。

   1. 对于**来源属性**，使用下拉列表选择 Microsoft Entra ID 用户属性。例如 `user.department`。

1. 对需要在 SAML 断言中发送到 IAM Identity Center 的每个属性重复上一步。

1. 选择**保存**。

------
#### [ Configure ABAC using IAM Identity Center ]

**使用 IAM Identity Center 配置 ABAC**

通过此方法，您可以使用 IAM Identity Center 中的 [访问控制属性](attributesforaccesscontrol.md) 功能来传递 `Name` 属性设置为 `https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}` 的 `Attribute` 元素。您可以使用此元素将属性作为 SAML 断言中的会话标记传递。有关会话标签的更多信息，请参阅 *IAM 用户指南*在 AWS STS中的[传递会话标签](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_session-tags.html)。

要将属性作为会话标签传递，请包含指定标签值的 `AttributeValue` 元素。例如，要传递标签键值对 `Department=billing`，请使用以下属性：

```
<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:Department">
<saml:AttributeValue>billing
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
```

如果您需要添加多个属性，请为每个标签包含一个单独的 `Attribute` 元素。

------

## 将访问权限分配给 AWS 账户
<a name="entra-acct-access"></a>

仅授予访问权限时才需要执行以下步骤。 AWS 账户 授予 AWS 应用程序访问权限不需要这些步骤。

**注意**  
要完成此步骤，您需要拥有 IAM Identity Center 的 Organization 实例。有关更多信息，请参阅 [IAM Identity Center 的组织和账户实例](identity-center-instances.md)。

### 步骤 1：IAM Identity Center：向 Microsoft Entra ID 用户授予账户访问权限
<a name="entra-acct-access-step1"></a>

1. 返回 **IAM Identity Center** 控制台。在 IAM Identity Center 导航窗格的**多账户权限**下，选择 **AWS 账户**。

1. 在 **AWS 账户** 页面，**组织结构**将显示您的组织根目录，您的账户将以分层结构列于其下方。选中管理账户对应的复选框，然后选择**分配用户或组**。

1. 此时将显示**分配用户和组**工作流程。它包括三个步骤：

   1. 对于**步骤 1：选择用户和组**，选择将要执行管理员工作职能的用户。然后选择**下一步**。

   1. 对于**步骤 2：选择权限集**，选择**创建权限集**，以打开新的标签页，它将引导您完成创建权限集所涉及的三个子步骤。

      1. 对于**步骤 1：选择权限集类型**，请完成以下操作：
         + 在**权限集类型**中，选择**预定义权限集**。
         + 在**预定义权限集的策略**中，选择**AdministratorAccess**。

         选择**下一步**。

      1. 对于**步骤 2：指定权限集详细信息**，保留默认设置，并选择**下一步**。

         默认设置会创建名为*AdministratorAccess*、会话持续时间设置为一小时的权限集。

      1. 对于 “**步骤 3：查看并创建**”，请验证**权限集类型**是否使用 AWS 托管策略**AdministratorAccess**。选择**创建**。**权限集**页面会显示通知，告知您权限集已创建。您可以在网络浏览器中关闭此标签页。

      1. 在**分配用户和组**浏览器标签页，您仍处于**步骤 2：选择权限集**，您将在这里启动创建权限集工作流程。

      1. 在**权限集**区域，选择**刷新**按钮。您创建的*AdministratorAccess*权限集将出现在列表中。选择该权限集的复选框，然后选择**下一步**。

   1. 对于**步骤 3：查看并提交**，请查看选定的用户和权限集，然后选择**提交**。

      页面更新时会显示一条消息，告知您 AWS 账户 正在配置中。等待该过程完成。

      您将返回到该 AWS 账户 页面。系统会显示一条通知消息，告知您 AWS 账户 已重新配置您的权限集，并且已应用更新的权限集。当用户登录时，他们可以选择*AdministratorAccess*角色。

### 步骤 2Microsoft Entra ID：确认Microsoft Entra ID用户对 AWS 资源的访问权限
<a name="entra-acct-access-step2"></a>

1. 返回到 **Microsoft Entra ID** 控制台，并导航到您的 IAM Identity Center 基于 SAML 的登录应用程序。

1. 选择**用户和组**，然后选择**添加用户或组**。您将把在本教程步骤 4 中创建的用户添加到 Microsoft Entra ID 应用程序。通过添加该用户，您将允许他们登录到 AWS。搜索您在步骤 4 中创建的用户。如果您遵循了此步骤，该用户应为 **RichardRoe**。

   1. 有关演示，请参阅[将您现有的 IAM Identity Center 实例与 Microsoft Entra ID 联合](https://youtu.be/iSCuTJNeN6c?si=29HSAK8DgBEhSVad)

## Microsoft Entra ID访问 IAM 身份中心其他区域的配置-可选
<a name="gs-microsoft-entra-multi-region"></a>

如果您将 IAM Identity Center 复制到其他区域，则必须更新您的身份提供商配置，以允许访问 AWS 托管应用程序和 AWS 账户 通过其他区域。以下步骤将指导您完成整个过程。有关本主题的更多详细信息（包括先决条件），请参阅[跨多个 IAM 身份中心使用 AWS 区域](multi-region-iam-identity-center.md)。

1. 从 IAM I URLs dentity Center 控制台检索其他区域的 ACS，如中所述[主端点和附加端点中的 ACS 端点 AWS 区域](multi-region-workforce-access.md#acs-endpoints)。

1. 在 [Microsoft Entra 管理中心](https://entra.microsoft.com/)控制台，导航到**身份 > 应用程序 > 企业应用程序**，然后选择 **AWS IAM Identity Center**。

1. 在左侧选择 **2. 设置单点登录**。

1. 在 “**基本 SAML 配置**” 页面的 “**回复 URL（断言使用者服务 URL）**” 部分下，选择为每个其他区域的 **ACS URL 添加回复 URL**。您可以将主区域的 ACS URL 保留为默认区域，这样当用户从中启动 AWS IAM Identity Center 应用程序时，他们就会被重定向到主区域Microsoft Entra ID。

1. 添加 ACS 后 URLs，保存**AWS IAM Identity Center**应用程序。

1. 您可以在中Microsoft Entra ID为每个其他区域的 AWS 访问门户创建书签应用程序。这使您的用户能够从中 AWS 访问其他地区的访问门户Microsoft Entra ID。请务必向您的用户授予访问中的书签应用程序的权限Microsoft Entra ID。有关更多详细信息，请参阅[Microsoft Entra ID文档](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/configure-linked-sign-on)。

1. 确认您可以登录其他每个地区的 AWS 访问门户。导航到[AWS 访问门户 URLs](multi-region-workforce-access.md#portal-endpoints)或从中启动书签应用程序Microsoft Entra ID。

## 问题排查
<a name="idp-microsoft-entra-troubleshooting"></a>

有关使用 Microsoft Entra ID 对 SCIM 和 SAML 进行一般性问题排查，请参阅以下各部分：
+ [Microsoft Entra ID 与 IAM Identity Center 的同步问题](#entra-scim-troubleshooting)
+ [特定用户无法从外部 SCIM 提供商同步到 IAM Identity Center](troubleshooting.md#issue2)
+ [与 IAM Identity Center 创建的 SAML 断言内容有关的问题](troubleshooting.md#issue1)
+ [使用外部身份提供者预置用户或组时出现重复用户或组错误](troubleshooting.md#duplicate-user-group-idp)
+ [其他资源](#entra-scim-troubleshooting-resources)

### Microsoft Entra ID 与 IAM Identity Center 的同步问题
<a name="entra-scim-troubleshooting"></a>

如果您遇到 Microsoft Entra ID 用户未同步到 IAM Identity Center 的问题，可能是由于在向 IAM Identity Center 添加新用户时，IAM Identity Center 已经标记的语法问题。您可以通过检查 Microsoft Entra ID 审核日志中的失败事件（例如 `'Export'`）来确认这一点。此事件的**状态原因**将说明：

```
{"schema":["urn:ietf:params:scim:api:messages:2.0:Error"],"detail":"Request is unparsable, syntactically incorrect, or violates schema.","status":"400"}
```

您也可以检查 AWS CloudTrail 失败的事件。这可以通过在 “**事件历史记录**” 控制台中搜索 CloudTrail 或使用以下过滤器来完成：

```
"eventName":"CreateUser"
```

 CloudTrail 事件中的错误将说明以下内容：

```
"errorCode": "ValidationException",
        "errorMessage": "Currently list attributes only allow single item“
```

最终，此异常意味着从 Microsoft Entra ID 传递的某个值包含的值比预期多。该解决方案旨在查看 Microsoft Entra ID 中用户的属性，确保不包含重复值。重复值的一个常见示例是，联系电话（例如**手机**、**工作**电话和**传真**）存在多个值。尽管是单独的值，但它们都会在单父属性 **phoneNumbers** 下传递到 IAM Identity Center。

有关 SCIM 一般性问题排查的提示，请参阅[问题排查](troubleshooting.md#issue2)。

### Microsoft Entra ID 访客账户同步
<a name="entra-guest-acct-provisioning"></a>

若想将 Microsoft Entra ID 访客用户同步到 IAM Identity Center，请参阅下列步骤。

Microsoft Entra ID 访客用户的电子邮件有别于 Microsoft Entra ID 用户的电子邮件。尝试与 IAM Identity Center 同步 Microsoft Entra ID 访客账户时，该差异会引发问题。例如，查看访客用户的以下电子邮件地址：

`exampleuser_domain.com#EXT#@domain.onmicrosoft.com.`

IAM Identity Center 不希望电子邮件地址包含该*\$1EXT\$1@domain*格式。

1. 登录到 [Microsoft Entra 管理中心](https://entra.microsoft.com/)，导航到**身份** > **应用程序** > **企业应用程序**，然后选择 **AWS IAM Identity Center**

1. 导航到左侧窗格的**单点登录**选项卡。

1. 选择显示在**用户属性和声明**旁边的**编辑**。

1. 依次选择**必填声明**和**唯一用户标识符（姓名 ID）**。

1. 将为 Microsoft Entra ID 用户和访客用户创建两个声明条件：

   1. 若为 Microsoft Entra ID 用户，则为源属性设为 ` user.userprincipalname` 的成员创建用户类型。

   1. 若为 Microsoft Entra ID 访客用户，则为源属性设为 `user.mail` 的外部访客创建用户类型。

   1. 选择**保存**，然后重新尝试以 Microsoft Entra ID 访客用户身份登录。

### 其他资源
<a name="entra-scim-troubleshooting-resources"></a>
+ 有关 SCIM 一般性问题排查的提示，请参阅[排查 IAM Identity Center 问题](troubleshooting.md)。
+ 有关 Microsoft Entra ID 问题排查，请参阅 [Microsoft 文档](https://learn.microsoft.com/en-us/entra/identity/saas-apps/aws-single-sign-on-provisioning-tutorial#troubleshooting-tips)。
+ 要了解有关跨多重联合的更多信息 AWS 账户，请参阅[AWS 账户 使用进行保护Azure Active Directory Federation](https://aws.amazon.com//blogs/apn/securing-aws-accounts-with-azure-active-directory-federation/)。

以下资源可以帮助您在使用时进行故障排除 AWS：
+ [AWS re:Post](https://repost.aws/)-查找 FAQs 并链接到其他资源以帮助您解决问题。
+ [AWS 支持](https://aws.amazon.com/premiumsupport/) – 获得技术支持