本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 管理您的身份源
您在 IAM Identity Center 中的身份源定义了用户和组的管理位置。配置身份源后,您可以查找用户或群组,以授予他们对应用程序或两者的单点登录访问权限。 AWS 账户
在 AWS Organizations,每个组织只能有一个身份源。您可以选择以下一个选项作为身份源:
+ **[外部身份提供者](manage-your-identity-source-idp.md) -** 如果您要管理外部身份提供者(IdP)(例如 Okta 或 Microsoft Entra ID)中的用户,请选择此选项。
+ **[您的本地或 AWS 托管的 Active Directory](manage-your-identity-source-ad.md) —** 如果要连接,请选择此选项Active Directory (AD)。
+ **[Identity Center 目录](manage-your-identity-source-sso.md) -** 首次启用 IAM Identity Center 时,会自动将 Identity Center 目录配置为默认身份源,除非您选择了其他身份源。使用 Identity Center 目录,您可以创建您的用户和群组,并分配他们对您的 AWS 账户 和应用程序的访问级别。
**注意**
IAM Identity Center 不支持将 SAMBA4基于的 Simple AD 作为身份源。
**Topics**
+ [更改身份源的注意事项](manage-your-identity-source-considerations.md)
+ [更改您的身份源](manage-your-identity-source-change.md)
+ [IAM Identity Center 中支持的用户和组](manage-your-identity-source-attribute-use.md)
+ [外部身份提供者](manage-your-identity-source-idp.md)
+ [Microsoft AD 目录](manage-your-identity-source-ad.md)
# 更改身份源的注意事项
尽管您可以随时更改身份源,但我们建议您考虑此更改会如何影响您当前的部署。
如果您已经在一个身份源中管理用户和组,则更改为其他身份源可能会移除您在 IAM Identity Center 中配置的所有用户和组分配。如果发生这种情况,所有用户(包括 IAM Identity Center 中的管理用户)都将失去对其 AWS 账户 和应用程序的单点登录访问权限。
在更改 IAM Identity Center 的身份源之前,请先查看以下注意事项,然后再继续。如果您想继续更改身份源,请参阅 [更改您的身份源](manage-your-identity-source-change.md) 了解更多信息。
## 在 IAM Identity Center 目录和 Active Directory 之间进行更改
如果您已经在 Active Directory 中管理用户和组,我们建议您在启用 IAM Identity Center 并选择身份源时考虑连接您的目录。在默认 Identity Center 目录中创建任何用户和组并进行任何分配之前,请执行此操作。
**重要**
在 IAM Identity Center 中将身份源类型更改为 Active Directory 或从 Active Directory 更改时,请注意身份存储 ID 将会更改。这可能会产生以下影响:
您的默认 AWS 访问门户 URL 将更改。您需要将新的 URL 告知您的员工,并更新书签、网关或防火墙允许列表以及引用此 URL 的配置。我们建议您在计划的维护时段执行此更改,以尽量减少对用户的干扰。
如果您在 IAM Identity Center 中使用客户自主管理型 KMS 密钥进行静态加密,并且已使用加密上下文配置了 KMS 密钥策略,请注意身份存储的加密上下文将会更改。例如,在身份存储 ARN "arn:aws:identitystore::123456789012:identitystore/d-922763e9b3" 中,"d-922763e9b3" 就是身份存储 ID。为防止在此过渡期间服务中断,请临时修改您的 KMS 密钥策略以使用通配符模式:"arn:aws:identitystore::123456789012:identitystore/\$1"。
如果您已在默认 Identity Center 目录中管理用户和组,请考虑以下事项:
+ **已删除分配以及已删除的用户和组**——将身份源更改为 Active Directory 会从 Identity Center 目录中删除您的用户和组。此更改还会删除您的分配。在这种情况下,更改为 Active Directory 后,必须将 Active Directory 中的用户和组同步到 Identity Center 目录,然后重新应用其分配。
如果您选择不使用 Active Directory,则必须在 Identity Center 目录中创建用户和组,然后进行分配。
+ **删除身份时不会删除分配**——当在 Identity Center 目录中删除身份时,相应的分配也会在 IAM Identity Center 中删除。但是,在 Active Directory 中,当删除身份(在 Active Directory 中或同步的身份中)时,不会删除相应的分配。
+ **不进行出站同步 APIs** — 如果您使用 Active Directory 作为身份源,我们建议您谨慎 APIs 使用[创建、更新和删除](https://docs.aws.amazon.com/singlesignon/latest/APIReference/API_Operations.html)。IAM Identity Center 不支持出站同步,因此您的身份源不会自动更新您对使用这些内容的用户或群组所做的更改 APIs。
+ **访问门户网址将发生变化** — 在 IAM 身份中心和 Active Directory 之间更改您的身份来源也会更改 AWS 访问门户的网址。
+ 如果使用 Identity Store 在 IAM Identity Center 控制台中删除或禁用用户 APIs,则具有活动会话的用户可以继续访问集成的应用程序和账户。有关身份验证会话持续时间和用户行为的信息,请参阅[了解 IAM Identity Center 中的身份验证会话](authconcept.md)。
有关 IAM Identity Center 如何配置用户和组的信息,请参阅 [Microsoft AD 目录](manage-your-identity-source-ad.md)。
## 从 IAM Identity Center 更改为外部 IdP
如果您将身份源从 IAM Identity Center 更改为外部身份提供商 (IdP),请考虑以下事项:
+ **任务和成员资格使用正确的断言** — 只要新 IdP 发送正确的断言(例如 SAML 名称),您的用户分配、小组分配和小组成员资格就会继续起作用。IDs这些断言必须与 IAM Identity Center 中的用户名和组匹配。
+ **无出站同步** – IAM Identity Center 不支持出站同步,因此您的外部 IdP 不会自动更新您在 IAM Identity Center 中对用户和组所做的更改。
+ **SCIM 预置** – 仅当您的身份提供者将这些更改发送到 IAM Identity Center 后,对身份提供者中的用户和组的更改才会反映在 IAM Identity Center 中。请参阅[使用自动预置的注意事项](provision-automatically.md#auto-provisioning-considerations)。
+ **回滚** – 您可以随时将身份源恢复为使用 IAM Identity Center。请参阅[从外部 IdP 更改为 IAM Identity Center](#changing-from-idp-and-idc)。
+ **现有用户会话将在会话持续时间到期时撤销** – 将身份源更改为外部身份提供者后,活跃用户会话将在控制台中配置的最长会话持续时间的剩余时间内持续存在。例如,如果 AWS 访问门户会话持续时间设置为八小时,而您在第四个小时更改了身份源,则活动用户会话将再持续四个小时。要撤销用户会话,请参阅[查看和结束员工用户的活跃会话](end-active-sessions.md)。
如果使用 Identity Store 在 IAM Identity Center 控制台中删除或禁用用户 APIs,则具有活动会话的用户可以继续访问集成的应用程序和账户。有关身份验证会话持续时间和用户行为的信息,请参阅[了解 IAM Identity Center 中的身份验证会话](authconcept.md)。
**注意**
删除用户后,您就无法从 IAM Identity Center 控制台撤销用户会话。
有关 IAM Identity Center 如何配置用户和组的信息,请参阅 [外部身份提供者](manage-your-identity-source-idp.md)。
## 从外部 IdP 更改为 IAM Identity Center
如果您将身份源从外部身份提供商 (IdP) 更改为 IAM Identity Center,请考虑以下事项:
+ IAM Identity Center 会保留您的所有分配。
+ **强制密码重置**——在 IAM Identity Center 中拥有密码的用户可以继续使用旧密码登录。对于外部 IdP 中但不在 IAM Identity Center 中的用户,管理员必须强制重置密码。
+ **现有用户会话将在会话持续时间到期时撤销** – 将身份源更改为 IAM Identity Center 后,活跃用户会话将在控制台中配置的最长会话持续时间的剩余时间内持续存在。例如,如果 AWS 访问门户会话持续时间为八小时,而您在第四个小时更改了身份源,则活动用户会话将继续再运行四个小时。要撤销用户会话,请参阅[查看和结束员工用户的活跃会话](end-active-sessions.md)。
如果使用 Identity Store 在 IAM Identity Center 控制台中删除或禁用用户 APIs,则具有活动会话的用户可以继续访问集成的应用程序和账户。有关身份验证会话持续时间和用户行为的信息,请参阅[了解 IAM Identity Center 中的身份验证会话](authconcept.md)。
**注意**
删除用户后,您就无法从 IAM Identity Center 控制台撤销用户会话。
+ **多区域支持**-如果您已将 IAM Identity Center 复制到其他区域或计划这样做,则必须使用外部身份提供商作为身份来源。有关包括其他先决条件在内的更多信息,请参阅[跨多个 IAM 身份中心使用 AWS 区域](multi-region-iam-identity-center.md)。
有关 IAM Identity Center 如何配置用户和组的信息,请参阅 [管理 Identity Center 目录中的用户](manage-your-identity-source-sso.md)。
## 从一个外部 IdP 更改为另一外部 IdP
如果您已使用外部 IdP 作为 IAM Identity Center 的身份源并且更改为其他外部 IdP,请考虑以下事项:
+ **分配和成员身份与正确的断言配合使用**——IAM Identity Center 会保留您的所有分配。只要新 IdP 发送正确的断言(例如 SAML 名称),用户分配、群组分配和群组成员资格就会继续生效。IDs
当您的用户通过新的外部 IdP 进行身份验证时,这些断言必须与 IAM Identity Center 中的用户名匹配。
+ **SCIM 预置** – 如果使用 SCIM 预置到 IAM Identity Center 中,建议查看本指南中关于 IdP 的信息以及 IdP 提供的文档,确保启用 SCIM 时新提供者能够正确匹配用户和组。
+ **现有用户会话将在会话持续时间到期时撤销** – 将身份源更改为其他外部身份提供者后,活跃用户会话将在控制台中配置的最长会话持续时间的剩余时间内持续存在。例如,如果 AWS 访问门户会话持续时间为八小时,而您在第四个小时更改了身份源,则活动用户会话将再持续四个小时。要撤销用户会话,请参阅[查看和结束员工用户的活跃会话](end-active-sessions.md)。
如果使用 Identity Store 在 IAM Identity Center 控制台中删除或禁用用户 APIs,则具有活动会话的用户可以继续访问集成的应用程序和账户。有关身份验证会话持续时间和用户行为的信息,请参阅[了解 IAM Identity Center 中的身份验证会话](authconcept.md)。
**注意**
删除用户后,您就无法从 IAM Identity Center 控制台撤销用户会话。
有关 IAM Identity Center 如何配置用户和组的信息,请参阅 [外部身份提供者](manage-your-identity-source-idp.md)。
## 在 Active Directory 和外部 IdP 之间进行更改
如果您将身份源从外部 IdP 更改为 Active Directory,或从 Active Directory 更改为外部 IdP,请考虑以下事项:
+ **用户、组和分配被删除**——所有用户、组和分配都将从 IAM Identity Center 中删除。外部 IdP 或 Active Directory 中的用户或组信息均不会受到影响。
+ **预置用户**——如果您更改为外部 IdP,则必须配置 IAM Identity Center 来预置您的用户。或者,您必须先手动为外部 IdP 设置用户和组,然后才能配置分配。
+ **创建分配和组**——如果更改为 Active Directory,则必须使用 Active Directory 目录中的用户和组创建分配。
+ 如果使用 Identity Store 在 IAM Identity Center 控制台中删除或禁用用户 APIs,则具有活动会话的用户可以继续访问集成的应用程序和账户。有关身份验证会话持续时间和用户行为的信息,请参阅[了解 IAM Identity Center 中的身份验证会话](authconcept.md)。
+ **多区域支持**-如果您已将 IAM Identity Center 复制到其他区域或计划这样做,则必须使用外部身份提供商作为身份来源。有关包括其他先决条件在内的更多信息,请参阅[跨多个 IAM 身份中心使用 AWS 区域](multi-region-iam-identity-center.md)。
有关 IAM Identity Center 如何配置用户和组的信息,请参阅 [Microsoft AD 目录](manage-your-identity-source-ad.md)。
# 更改您的身份源
以下步骤介绍如何从 IAM Identity Center 提供的目录(默认 Identity Center 目录)更改为 Active Directory 或外部身份提供者,或者反之亦然。在继续操作之前,请查看 [更改身份源的注意事项](manage-your-identity-source-considerations.md) 中的信息。要完成此过程,您需要拥有 IAM Identity Center 的组织实例。有关更多信息,请参阅 [IAM Identity Center 的组织和账户实例](identity-center-instances.md)。
**警告**
根据您当前的部署,此更改可能会删除您在 IAM Identity Center 中配置的所有用户和组分配。此更改还将从您的权限集 IAM 角色中移除 AWS 账户。因此,您可能需要更新资源策略,并应确保这不会中断您对 AWS KMS 密钥和 Amazon EKS 集群的访问。要了解更多信息,请参阅[在资源策略、Amazon EKS 集群配置映射和 AWS KMS 密钥策略中引用权限集](referencingpermissionsets.md)。
发生这种情况时,所有用户和群组(包括 IAM Identity Center 中的管理用户)都将失去对其 AWS 账户 和应用程序的单点登录访问权限。
**如需更改您的身份源**
1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。
1. 选择**设置**。
1. 在**设置**页面上,选择**身份源**选项卡。选择**操作**,然后选择**更改身份源**。
1. 在**选择身份源**项下,选择要更改的源,然后选择**下一步**。
如果您要更改为 Active Directory,请从下一页的菜单中选择可用目录。
**重要**
将您的身份源更改为 Active Directory 或从 Active Directory 更改身份源会从 Identity Center 目录中删除用户和组。此更改还会删除您在 IAM Identity Center 配置的所有分配。
**注意**
如果您将 IAM Identity Center 复制到其他区域,则无法更改您的身份源类型。您只能用另一个外部 IdP 替换当前的外部 IdP。要更改身份来源类型,您需要先移除所有其他区域。有关更多信息,请参阅 [跨多个 IAM 身份中心使用 AWS 区域](multi-region-iam-identity-center.md)。
如果要切换为外部身份提供者,我们建议您按照 [如何连接到外部身份提供商](how-to-connect-idp.md) 中所述的步骤操作。
1. 阅读免责声明并准备好继续后,键入 **ACCEPT**。
1. 选择**更改身份源**。如果要将身份源更改为 Active Directory,请继续执行下一步。
1. 将您的身份源更改为 Active Directory 会让您转至**设置**页面。在**设置**页面上,执行以下任一操作:
+ 选择**启动引导式设置**。有关如何完成引导式设置流程的信息,请参阅 [引导式设置](manage-sync-configurable-ADsync.md#manage-sync-guided-setup-configurable-ADsync)。
+ 在**身份源**部分,请选择**操作**,然后选择**管理同步**,以配置您的*同步范围*以及要同步的用户和组列表。
# IAM Identity Center 中支持的用户和组
本指南提供 IAM Identity Center 中 SCIM 属性支持的参考信息。它列出了 IAM Identity Center 身份存储中支持的 SCIM 规范中的哪些用户和组属性,并指出了不支持的具体属性和子属性。
属性是各种条目的信息,用于帮助您定义和标识单个用户或组对象,例如 `name`、`email` 或 `members`。IAM Identity Center 通过手动输入和自动 SCIM 配置(预置)支持最常用的属性。
+ [有关跨域身份管理系统 (SCIM) 规范的信息,请参阅 https://tools.ietf.org/html /rfc7642。](https://tools.ietf.org/html/rfc7642)
+ 有关手动和自动预调配的信息,请参阅 [当用户来自外部 IdP 时进行预置](manage-your-identity-source-idp.md#provisioning-when-external-idp)。
+ 有关属性映射的更多信息,请参阅 [IAM Identity Center 与外部身份提供者目录之间的属性映射](attributemappingsconcept.md)。
由于 IAM Identity Center 支持 SCIM 自动预调配使用案例,因此 Identity Center 目录支持 SCIM 规范中列出的所有相同用户和组属性,只有少数例外。以下各节介绍了 IAM Identity Center 不支持哪些属性。
## 不支持的用户对象
IAM 身份中心身份存储支持 SCIM 用户架构 ([https://tools.ietf.org/html/rfc7643 \$1section -8.3](https://tools.ietf.org/html/rfc7643#section-8.3)) 中的所有属性,但以下属性除外:
+ `password`
+ `ims`
+ `photos`
+ `entitlements`
+ `x509Certificates`
支持用户的所有子属性,但以下属性除外:
+ 任何多值属性的 `'display'` 子属性(例如,`emails` 或 `phoneNumbers`)
+ `'meta'` 属性的 `'version'` 子属性
## 不支持的组对象
支持 SCIM 组架构 ([https://tools.ietf.org/html/rfc7643 \$1section](https://tools.ietf.org/html/rfc7643#section-8.4) -8.4) 中的所有属性。
支持组的所有子属性,但以下属性除外:
+ 任何多值属性(例如,成员)的 `'display'` 子属性。
# 外部身份提供者
借助 IAM Identity Center,您可以通过安全断言标记语言 (SAMLIdPs) 2.0 和跨域身份管理系统 (SCIM) 协议,连接来自外部身份提供商 () 的现有员工身份。这使您的用户能够使用其公司凭证登录 AWS 访问门户。然后,他们可以导航到为其分配的帐户、角色和托管在外部的应用程序 IdPs。
例如,您可以将 Okta 或 Microsoft Entra ID 等外部 IdP 连接到 IAM Identity Center。然后,您的用户可以使用其现有Okta或Microsoft Entra ID凭据登录 AWS 访问门户。要控制用户登录后可以执行的操作,您可以集中为他们分配 AWS 组织中所有账户和应用程序的访问权限。此外,开发人员只需使用其现有凭证登录 AWS Command Line Interface (AWS CLI),即可从自动生成和轮换短期凭证中受益。
如果您使用的是 Active Directory 或中的自管理目录 AWS Managed Microsoft AD,请参阅[Microsoft AD 目录](manage-your-identity-source-ad.md)。
**注意**
SAML 协议不提供查询 IdP 以了解用户和组的方法。因此,您必须通过将这些用户和组预置到 IAM Identity Center 来使 IAM Identity Center 了解这些用户和组。
## 当用户来自外部 IdP 时进行预置
使用外部 IdP 时,必须先将所有适用的用户和群组配置到 IAM Identity Center 中,然后才能对 AWS 账户 或应用程序进行任何分配。为此,您可以为用户和组配置 [使用 SCIM 从外部身份提供者预置用户和组](provision-automatically.md),也可以使用 [手动预置](provision-automatically.md#provision-manually)。无论您如何配置用户,IAM Identity Center 都会将命令行界面和应用程序身份验证重定向到您的外部 IdP。 AWS 管理控制台然后,IAM Identity Center 根据您在 IAM Identity Center 中创建的策略授予对这些资源的访问权限。有关预置的更多信息,请参阅 [用户和组预调配](users-groups-provisioning.md#user-group-provision)。
**Topics**
+ [当用户来自外部 IdP 时进行预置](#provisioning-when-external-idp)
+ [如何连接到外部身份提供商](how-to-connect-idp.md)
+ [如何在 IAM Identity Center 中更改外部身份提供者元数据](how-to-change-idp-metadata.md)
+ [对外部身份提供者使用 SAML 和 SCIM 身份联合验证](other-idps.md)
+ [SCIM 配置文件和 SAML 2.0 实施](scim-profile-saml.md)
# 如何连接到外部身份提供商
对于支持的外部设备,有不同的先决条件、注意事项和配置程序 IdPs。有一些 step-by-step教程可供选择 IdPs:
+ [CyberArk](cyberark-idp.md)
+ [Google Workspace](gs-gwp.md)
+ [JumpCloud](jumpcloud-idp.md)
+ [Microsoft Entra ID](idp-microsoft-entra.md)
+ [Okta](gs-okta.md)
+ [OneLogin](onelogin-idp.md)
+ [Ping Identity](pingidentity.md)
有关 IAM Identity Center 支持的外部 IdPs 注意事项的更多信息,请参阅[对外部身份提供者使用 SAML 和 SCIM 身份联合验证](other-idps.md)。
下方概述了所有外部身份提供者使用的过程。
**要连接到外部身份提供商**
1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。
1. 选择**设置**。
1. 在**设置**页面上,选择**身份源**选项卡,然后选择**操作>更改身份源**。
1. 在**选择身份源** 下,选择**外部身份提供程序**,然后选择**下一步**。
1. 在**配置外部身份提供商**下,执行以下操作:
1. 在**服务提供商元数据**下,选择**下载元数据文件**以下载元数据文件并将其保存在您的系统上。您的外部身份提供商需要 IAM Identity Center SAML 元数据文件。
**注意**
您下载的 SAML 元数据文件包含 IPv4仅限和双栈断言消费者服务 (ACS)。 URLs此外,如果您的 IAM 身份中心被复制到其他区域,则元数据文件将包含每个额外区域 URLs 的 ACS。如果您的外部 IdP 对 ACS 的数量有限制 URLs,则需要删除不必要的 ACS。 URLs例如,如果您的组织已完全采用双堆栈终端节点,并且不再使用 IP4v仅限双堆栈的终端节点,则可以移除后者。另一种方法是不使用元数据文件,而是将 ACS 复制并粘贴 URLs 到外部 IdP 中。
1. 在**身份提供者元数据**下选择**选择文件**,然后找到从外部身份提供者下载的元数据文件。然后上传该文件。此元数据文件包含用于信任从 IdP 发送的消息所需的公共 x509 证书。
1. 选择**下一步**。
**重要**
将源更改为 Active Directory 或从 Active Directory 更改源会删除所有现有的用户和组分配。成功更改来源后,您必须手动重新应用分配。
1. 阅读免责声明并准备继续操作后,输入**接受**。
1. 选择**更改身份源**。状态消息将通知您,您已成功更改身份源。
# 如何在 IAM Identity Center 中更改外部身份提供者元数据
您可以更改之前提供给 IAM Identity Center 的外部身份提供者的元数据。这些更改会影响您的用户通过 IAM Identity Center 登录和访问 AWS 资源的能力。下列过程介绍了如何更新存储在 IAM Identity Center 中的外部 IdP 的元数据。要完成此过程,您需要拥有 IAM Identity Center 的组织实例。有关更多信息,请参阅 [IAM Identity Center 的组织和账户实例](identity-center-instances.md)。
**更改外部身份提供者的元数据**
1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。
1. 选择**设置**。
1. 在**设置**页面上,选择**身份源**选项卡。选择**操作**,然后选择**管理身份验证**。
1. 在**身份提供者元数据**部分,选择**编辑 IdP 元数据**。您可以在此页面上更改外部 IdP 的 IdP 登录 URL 和/或 IdP 发布者 URL。完成所有必要的更改后,选择**保存更改**。
# 对外部身份提供者使用 SAML 和 SCIM 身份联合验证
IAM Identity Center 实施以下基于标准的身份联合验证协议:
+ 用于用户身份验证的 SAML 2.0
+ 用于预置的 SCIM
任何实施这些标准协议的身份提供商 (IdP) 都有望与 IAM Identity Center 成功互操作,但需要注意以下特殊事项:
+ **SAML**
+ IAM Identity Center 要求电子邮件地址采用 SAML NameID 格式(即 `urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress`)。
+ [断言中 nameID 字段的值必须是符合 RFC 2822 ([https://tools.ietf.org/html/rfc2822) addr-spec (“”) 字符串 (/rfc2822](https://tools.ietf.org/html/rfc2822) \$1section -3.4.1)。`name@domain.com` https://tools.ietf.org/html](https://tools.ietf.org/html/rfc2822#section-3.4.1)
+ 元数据文件不能超过 75000 个字符。
+ 元数据必须包含 EntityID、X509 证书,并 SingleSignOnService作为登录网址的一部分。
+ 不支持加密密钥。
+ IAM Identity Center 不支持对发送给外部 IdPs的 SAML 身份验证请求进行签名。
+ URLs 如果您计划将 IAM Identity Center 复制到其他区域,并充分利用多区域 IAM 身份中心的优势,IdP 必须支持多断言消费者服务 (ACS)。有关更多信息,请参阅 [跨多个 IAM 身份中心使用 AWS 区域](multi-region-iam-identity-center.md)。使用单个 ACS URL 可能会影响其他区域的用户体验。您的主要区域将继续正常运行。有关使用单个 ACS URL 在其他区域的用户体验的更多信息,请参阅[使用没有多个 ACS 的 AWS 托管应用程序 URLs](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls)和[AWS 账户 无需多个 ACS 即可实现访问弹性 URLs](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url)。
+ **SCIM**
+ [IAM Identity Center SCIM 的实施基于 SCIM RFCs 7642 ([https://tools.ietf.org/html/rfc7642)、764](https://tools.ietf.org/html/rfc7642) 3 (/rfc7643) 和 7644 ([https://tools.ietf.org/html/rfc764](https://tools.ietf.org/html/rfc7643) 4),以及 2020 年 3 月基本 [https://tools.ietf.org/htmlSCIM Profile 1.0 草案 (\$1rfc .section.4](https://tools.ietf.org/html/rfc7644)) 中规定的互操作性要求。 FastFed https://openid.net/specs/fastfed-scim-1\$10-02.html](https://openid.net/specs/fastfed-scim-1_0-02.html#rfc.section.4)这些文档与 IAM Identity Center 中当前实施之间的任何差异均在* IAM Identity Center SCIM 实施开发人员指南*的[支持的 API 操作](https://docs.aws.amazon.com/singlesignon/latest/developerguide/supported-apis.html)部分中进行了描述。
IdPs 不支持不符合上述标准和注意事项的内容。请联系您的 IdP,了解有关其产品是否符合这些标准和注意事项的问题或澄清。
如果您在将 IdP 连接到 IAM Identity Center 时遇到任何问题,我们建议您检查:
+ AWS CloudTrail 通过筛选事件名称来记录日志 L **ExternalIdPDirectoryogin**
+ 特定于 IDP 的日志调试日志 and/or
+ [排查 IAM Identity Center 问题](troubleshooting.md)
**注意**
有些 IdPs产品(例如中的那些)以专为 IAM Identity Center 构建的 “应用程序” 或 “连接器” 的形式为 IAM Identity Center 提供了简化的配置体验。[IAM Identity Center 身份源教程](tutorials.md)如果您的 IdP 提供此选项,我们建议您使用它,并小心选择专为 IAM Identity Center 构建的项目。其他名为 “AWS”、“AWS 联合” 或类似的通用 “AWS” 名称的项目可能使用其他联合方法 and/or 终端节点,并且可能无法按预期与 IAM Identity Center 配合使用。
# SCIM 配置文件和 SAML 2.0 实施
SCIM 和 SAML 都是配置 IAM Identity Center 时的重要考虑因素。
## SAML 2.0 实施
IAM Identity Center 支持使用 [SAML(安全断言标记语言)](https://wiki.oasis-open.org/security)2.0 进行身份联合验证。这允许 IAM Identity Center 对来自外部身份提供商的身份进行身份验证 (IdPs)。SAML 2.0 是一种用于安全交换 SAML 断言的开放标准。SAML 2.0 在 SAML 授权机构(称为身份提供商或 IdP)和 SAML 使用者(称为服务提供商或 SP)之间传递有关用户的信息。IAM Identity Center 服务使用此信息来提供联合身份验证单点登录。单点登录允许用户根据其现有的身份提供商凭据访问 AWS 账户 和配置应用程序。
IAM Identity Center 为您的 IAM 身份中心存储 AWS Managed Microsoft AD或外部身份提供商添加 SAML IdP 功能。然后,用户可以单点登录支持 SAML 的服务,包括 AWS 管理控制台 和第三方应用程序Microsoft 365,例如Concur、和。Salesforce
但是,SAML 协议不提供查询 IdP 以了解用户和组的方法。因此,您必须通过将这些用户和组预置到 IAM Identity Center 来使 IAM Identity Center 了解这些用户和组。
## SCIM 配置文件
IAM Identity Center 为跨域身份管理系统 (SCIM) v2.0 标准提供支持。SCIM 使您的 IAM Identity Center 身份与 IdP 的身份保持同步。这包括 IdP 和 IAM Identity Center 之间的任何用户预置、更新和取消预置。
有关如何实施 SCIM 的更多信息,请参阅 [使用 SCIM 从外部身份提供者预置用户和组](provision-automatically.md)。有关 IAM Identity Center SCIM 实施的更多详细信息,请参阅 [IAM Identity Center SCIM 实施开发人员指南](https://docs.aws.amazon.com/singlesignon/latest/developerguide/what-is-scim.html)。
**Topics**
+ [SAML 2.0 实施](#samlfederationconcept)
+ [SCIM 配置文件](#scim-profile)
+ [使用 SCIM 从外部身份提供者预置用户和组](provision-automatically.md)
+ [轮换 SAML 2.0 证书](managesamlcerts.md)
# 使用 SCIM 从外部身份提供者预置用户和组
IAM Identity Center 支持使用跨域身份管理系统 (SCIM) v2.0 协议将用户和组信息从身份提供商 (IdP) 自动预置(同步)到 IAM Identity Center。配置 SCIM 同步时,您可以创建身份提供商 (IdP) 用户属性到 IAM Identity Center 中的命名属性的映射。这会导致 IAM Identity Center 和您的 IdP 之间的预期属性匹配。您可以使用 IAM Identity Center 的 SCIM 端点和您在 IAM Identity Center 中创建的持有者令牌,在 IdP 中配置此连接。
**Topics**
+ [使用自动预置的注意事项](#auto-provisioning-considerations)
+ [如何监控访问令牌过期](#access-token-expiry)
+ [生成访问令牌](generate-token.md)
+ [启用自动预置](how-to-with-scim.md)
+ [删除访问令牌](delete-token.md)
+ [禁用自动预置](disable-provisioning.md)
+ [轮换访问令牌](rotate-token.md)
+ [审计和协调自动预置的资源](reconcile-auto-provisioning.md)
+ [手动预置](#provision-manually)
## 使用自动预置的注意事项
在开始部署 SCIM 之前,我们建议您首先查看以下有关其如何与 IAM Identity Center 配合使用的重要注意事项。有关其他预置注意事项,请参阅相应 IdP 适用的 [IAM Identity Center 身份源教程](tutorials.md)。
+ 如果您要预置主电子邮件地址,则此属性值对于每个用户必须是唯一的。在某些 IdPs情况下,主电子邮件地址可能不是真实的电子邮件地址。例如,它可能是看起来像电子邮件的通用主体名称 (UPN)。它们 IdPs 可能有一个包含用户真实电子邮件地址的辅助或 “其他” 电子邮件地址。您必须在 IdP 中配置 SCIM,以将非空唯一电子邮件地址映射到 IAM Identity Center 主电子邮件地址属性。并且您必须将用户的非空唯一登录标识符映射到 IAM Identity Center 用户名属性。检查您的 IdP 是否具有既是登录标识符又是用户电子邮件名称的单一值。如果是这样,您可以将该 IdP 字段映射到 IAM Identity Center 主电子邮件和 IAM Identity Center 用户名。
+ 要使 SCIM 同步起作用,必须为每个用户指定**名字**、**姓氏**、**用户名**和**显示名称**值。如果用户缺少这些值中的任何一个,则不会配置该用户。
+ 如果您需要使用第三方应用程序,则首先需要将出站 SAML 主题属性映射到用户名属性。如果第三方应用程序需要可路由的电子邮件地址,您必须向您的 IdP 提供电子邮件属性。
+ SCIM 预置和更新间隔由您的身份提供商控制。仅当您的身份提供商将这些更改发送到 IAM Identity Center 后,对身份提供商中的用户和组的更改才会反映在 IAM Identity Center 中。请咨询您的身份提供商,了解有关用户和组更新频率的详细信息。
+ 目前,SCIM 未配置多值属性(例如给定用户的多个电子邮件或电话号码)。尝试使用 SCIM 将多值属性同步到 IAM Identity Center 将失败。为了避免失败,请确保为每个属性仅传递一个值。如果您的用户具有多值属性,请删除或修改 IdP 处 SCIM 中的重复属性映射,以连接到 IAM Identity Center。
+ 验证 IdP 处的 `externalId` SCIM 映射是否对应于对您的用户而言唯一、始终存在且最不可能更改的值。例如,您的 IdP 可能会提供有保证的 `objectId` 或其他标识符,这些标识符不会受到姓名和电子邮件等用户属性更改的影响。如果是这样,您可以将该值映射到 SCIM `externalId` 字段。这样可以确保您的用户在需要更改姓名或电子邮件时不会丢失 AWS 授权、分配或权限。
+ 尚未分配到应用程序或 AWS 账户 无法配置到 IAM Identity Center 的用户。要同步用户和组,请确保将它们分配给代表您的 IdP 与 IAM Identity Center 连接的应用程序或其他设置。
+ 用户取消预置行为由身份提供者管理,可能因实现情况而异。请咨询相关身份提供者,了解有关用户取消预置的详细信息。
+ 为您的 IdP 设置 SCIM 自动预置后,您将无法再在 IAM Identity Center 控制台中添加或编辑用户。如果您需要添加或修改用户,必须从您的外部 IdP 或身份源执行此操作。
有关 IAM Identity Center SCIM 实施的更多信息,请参阅 [IAM Identity Center SCIM 实施开发人员指南](https://docs.aws.amazon.com/singlesignon/latest/developerguide/what-is-scim.html)。
## 如何监控访问令牌过期
SCIM 访问令牌的生成有效期为一年。当您的 SCIM 访问令牌设置为 90 天或更短时间后到期时, AWS 会在 IAM Identity Center 控制台和控制 AWS Health 面板中向您发送提醒,以帮助您轮换令牌。通过在 SCIM 访问令牌过期之前进行轮换,您可以持续保护用户和组信息的自动预置。如果 SCIM 访问令牌过期,用户和组信息从身份提供商到 IAM Identity Center 的同步将停止,因此自动预置无法再进行更新或创建和删除信息。自动预置中断可能会增加安全风险并影响对服务的访问。
Identity Center 控制台提醒将持续存在,直到您轮换 SCIM 访问令牌并删除任何未使用或过期的访问令牌。 AWS Health 控制面板事件每周续订 90 到 60 天,每周更新两次,从 60 到 30 天,每周续订三次,从 30 到 15 天,每天续订 15 天,直到 SCIM 访问令牌到期。
# 生成访问令牌
使用以下过程在 IAM Identity Center 控制台中生成新的访问令牌。
**注意**
此过程要求您之前已启用自动预置。有关更多信息,请参阅 [启用自动预置](how-to-with-scim.md)。
**生成新的访问令牌**
1. 在 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)中,选择左侧导航窗格中的**设置**。
1. 在**设置**页面上,选择**身份源**选项卡,然后选择**操作>管理预置**。
1. 在**自动预置**页面的**访问令牌**下,选择**生成令牌**。
1. 在**生成新的访问令牌**对话框中,复制新的访问令牌并将其保存在安全的地方。
1. 选择**关闭**。
# 启用自动预置
使用以下过程可使用 SCIM 协议将用户和组从 IdP 自动预置到 IAM Identity Center。
**注意**
在开始此过程之前,我们建议您首先查看适用于您的 IdP 的预置注意事项。有关更多信息,请参阅相应 IdP 的 [IAM Identity Center 身份源教程](tutorials.md)。
**在 IAM Identity Center 中启用自动预置**
1. 完成先决条件后,打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。
1. 在左侧导航窗格中选择**设置**。
1. 在**设置**页面上,找到**自动预置**信息框,然后选择**启用**。这会立即在 IAM Identity Center 中启用自动预置,并显示必要的 SCIM 端点和访问令牌信息。
1. 在**入站自动预置**对话框中,复制 SCIM 端点和访问令牌。稍后在 IdP 中配置预置时,您需要粘贴这些内容。
1. **SCIM 端点** ——例如,https://scim。 *us-east-2*.amazonaws.com/ /scim/v2 *11111111111-2222-3333-4444-555555555555*
1. **访问令牌** - 选择**显示令牌**以复制该值。
**警告**
这是唯一可以获取 SCIM 端点与访问令牌的机会。在继续操作之前,务必复制这些值。本教程的后续步骤需要输入这些值,以便在 IdP 中配置自动预置。
1. 选择**关闭**。
完成此过程后,您必须在 IdP 中配置自动预置。有关更多信息,请参阅相应 IdP 的 [IAM Identity Center 身份源教程](tutorials.md)。
# 删除访问令牌
使用以下过程删除 IAM Identity Center 控制台中的现有访问令牌。
**删除现有的访问令牌**
1. 在 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)中,选择左侧导航窗格中的**设置**。
1. 在**设置**页面上,选择**身份源**选项卡,然后选择**操作>管理预置**。
1. 在**自动预置**页面的**访问令牌**下,选择要删除的访问令牌,然后选择**删除**。
1. 在**删除访问令牌**对话框中,查看信息,键入 **DELETE**,然后选择**删除访问令牌**。
# 禁用自动预置
使用以下过程在 IAM Identity Center 控制台中禁用自动预置。
**重要**
在开始此过程之前,您必须删除访问令牌。有关更多信息,请参阅 [删除访问令牌](delete-token.md)。
**在 IAM Identity Center 控制台中禁用自动预置**
1. 在 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)中,选择左侧导航窗格中的**设置**。
1. 在**设置**页面上,选择**身份源**选项卡,然后选择**操作>管理预置**。
1. 在**自动预置**页面上,选择**禁用**。
1. 在**禁用自动预置**对话框中,查看信息,键入**禁用**,然后选择**禁用自动预置**。
# 轮换访问令牌
IAM Identity Center 目录一次最多支持两个访问令牌。要在任何轮换之前生成额外的访问令牌,请删除所有过期或未使用的访问令牌。
如果您的 SCIM 访问令牌即将过期,您可以使用以下过程在 IAM Identity Center 控制台中轮换现有访问令牌。
**要轮换访问令牌**
1. 在 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)中,选择左侧导航窗格中的**设置**。
1. 在**设置**页面上,选择**身份源**选项卡,然后选择**操作>管理预置**。
1. 在**自动预置**页面的**访问令牌**下,记下要轮换的令牌的令牌 ID。
1. 按照 [生成访问令牌](generate-token.md) 的步骤创建一个新的令牌。如果您已创建最大数量的 SCIM 访问令牌,则首先需要删除现有令牌之一。
1. 转至身份提供商的网站并为 SCIM 预置预置新的访问令牌,然后使用新的 SCIM 访问令牌测试与 IAM Identity Center 的连接。确认使用新令牌预置成功后,请继续执行此过程中的下一步。
1. 按照 [删除访问令牌](delete-token.md) 中的步骤删除您之前记下的旧访问令牌。您还可以使用令牌的创建日期作为要删除哪个令牌的提示。
# 审计和协调自动预置的资源
SCIM 使您能够将用户、组和组成员资格从身份源自动预置到 IAM Identity Center。本指南帮助您验证和协调这些资源,以维持准确的同步。
## 为何要审计您的资源?
定期审计有助于确保您的访问控制保持准确,并且您的身份提供者(IdP)与 IAM Identity Center 保持正确同步。这对于安全合规性和访问管理尤为重要。
您可以审计的资源:
+ Users
+ 组
+ 组成员资格
您可以使用 Ident AWS ity Store [APIs](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/welcome.html)或 [CLI 命令](https://docs.aws.amazon.com/cli/latest/reference/identitystore/)进行审计和对账。以下示例使用 AWS CLI 命令。有关 API 替代方案,请参阅《*Identity Store API 参考*》中的[相应操作](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_Operations.html)。
## 如何审计资源
以下是如何使用 AWS CLI 命令审核这些资源的示例。
在开始之前,请确保您满足以下条件:
+ 对 IAM Identity Center 的管理员访问权限。
+ AWS CLI 已安装并配置。有关信息,请参阅 [https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html)。
+ 执行 Identity Store 命令所需的 IAM 权限。
### 步骤 1:列出当前资源
您可以使用查看您当前的资源 AWS CLI。
**注意**
使用时 AWS CLI,除非您指定`--no-paginate`,否则会自动处理分页。如果您直接调用 API(例如,使用 SDK 或自定义脚本),请处理响应中的 `NextToken`。这确保您能检索跨多个页面的所有结果。
**Example 适用于用户**
```
aws identitystore list-users \
--region REGION \
--identity-store-id IDENTITY_STORE_ID
```
**Example 适用于组**
```
aws identitystore list-groups \
--region REGION \
--identity-store-id IDENTITY_STORE_ID
```
**Example 适用于组成员资格**
```
aws identitystore list-group-memberships \
--region REGION \
--identity-store-id IDENTITY_STORE_ID
--group-id GROUP_ID
```
### 步骤 2:与您的身份源进行比较
将列出的资源与您的身份源进行比较,以识别任何差异,例如:
+ 缺失了本应在 IAM Identity Center 中预置的资源。
+ 应从 IAM Identity Center 中移除的额外资源。
**Example 适用于用户**
```
# Create missing users
aws identitystore create-user \
--identity-store-id IDENTITY_STORE_ID \
--user-name USERNAME \
--display-name DISPLAY_NAME \
--name GivenName=FIRST_NAME,FamilyName=LAST_NAME \
--emails Value=EMAIL,Primary=true
# Delete extra users
aws identitystore delete-user \
--identity-store-id IDENTITY_STORE_ID \
--user-id USER_ID
```
**Example 适用于组**
```
# Create missing groups
aws identitystore create-group \
--identity-store-id IDENTITY_STORE_ID \
[group attributes]
# Delete extra groups
aws identitystore delete-group \
--identity-store-id IDENTITY_STORE_ID \
--group-id GROUP_ID
```
**Example 适用于组成员资格**
```
# Add missing members
aws identitystore create-group-membership \
--identity-store-id IDENTITY_STORE_ID \
--group-id GROUP_ID \
--member-id '{"UserId": "USER_ID"}'
# Remove extra members
aws identitystore delete-group-membership \
--identity-store-id IDENTITY_STORE_ID \
--membership-id MEMBERSHIP_ID
```
## 注意事项
+ 命令受[服务配额和 API 节流](limits.md#ssothrottlelimits)的约束。
+ 当您在协调过程中发现许多差异时,请逐步对 Ident AWS ity Store 进行细微的更改。这有助于您避免影响多个用户的错误。
+ SCIM 同步可能会覆盖您的手动更改。检查您的 IdP 设置以了解此行为。
## 手动预置
有些 IdPs 不支持跨域身份管理系统 (SCIM),或者有不兼容的 SCIM 实现。在这些情况下,您可以通过 IAM Identity Center 控制台手动配置用户。当您将用户添加到 IAM Identity Center 时,请确保将用户名设置为与 IdP 中的用户名相同。您至少必须拥有唯一的电子邮件地址和用户名。有关更多信息,请参阅 [用户名和电子邮件地址的唯一性](users-groups-provisioning.md#username-email-unique)。
您还必须在 IAM Identity Center 中手动管理所有组。为此,您需要创建组并使用 IAM Identity Center 控制台添加它们。这些组不需要与您的 IdP 中存在的组匹配。有关更多信息,请参阅 [组](users-groups-provisioning.md#groups-concept)。
# 轮换 SAML 2.0 证书
IAM Identity Center 使用证书在 IAM Identity Center 和您的外部身份提供商 (IdP) 之间建立 SAML 信任关系。当您在 IAM Identity Center 中添加外部 IdP 时,您还必须从外部 IdP 获取至少一个公共 SAML 2.0 X.509 证书。该证书通常在信任创建期间的 IdP SAML 元数据交换期间自动安装。
作为 IAM Identity Center 管理员,您有时需要将旧的 IdP 证书替换为新的 IdP 证书。例如,当证书到期日期临近时,您可能需要更换 IdP 证书。用新证书替换旧证书的过程称为证书轮换。
**Topics**
+ [轮换 SAML 2.0 证书](rotatesamlcert.md)
+ [证书过期状态指示器](samlcertexpirationindicators.md)
# 轮换 SAML 2.0 证书
您可能需要定期导入证书,以便轮换身份提供商颁发的无效或过期的证书。这有助于防止身份验证中断或停机。所有导入的证书都将自动激活。仅应在确保相关身份提供商不再使用证书后才将其删除。
您还应该考虑有些证书 IdPs 可能不支持多个证书。在这种情况下,使用这些证书轮换证书的行为 IdPs 可能意味着您的用户服务会暂时中断。当成功重新建立与该 IdP 的信任时,服务就会恢复。如果可能的话,请在非高峰时段仔细计划此操作。
**注意**
作为安全最佳实践,一旦现有 SAML 证书出现任何泄露或处理不当的迹象,您应立即删除并轮换该证书。
轮换 IAM Identity Center 证书是一个多步骤过程,涉及以下内容:
+ 从 IdP 获取新证书
+ 将新证书导入 IAM Identity Center
+ 在 IdP 中激活新证书
+ 删除旧证书
使用以下所有过程来完成证书轮换过程,同时避免任何身份验证停机。
**步骤 1:从 IdP 获取新证书**
访问 IdP 网站并下载其 SAML 2.0 证书。确保以 PEM 编码格式下载证书文件。大多数提供商都允许您在 IdP 中创建多个 SAML 2.0 证书。这些很可能会被标记为禁用或不活动。
**步骤 2:将新证书导入 IAM Identity Center**
按照以下过程使用 IAM Identity Center 控制台导入新证书。
1. 在 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)中,选择**设置**。
1. 在**设置**页面上,选择**身份源**选项卡,然后选择**操作>管理身份验证**。
1. 在**管理 SAML 2.0 证书**页面上,选择**导入证书**。
1. 在**导入 SAML 2.0 证书**对话框中,选择**选择文件**,导航到您的证书文件并将其选中,然后选择**导入证书**。
此时,IAM Identity Center 将信任从您导入的两个证书签名的所有传入 SAML 消息。
**步骤 3:在 IdP 中激活新证书**
返回 IdP 网站,将您之前创建的新证书标记为主证书或有效证书。此时,由 IdP 签名的所有 SAML 消息都应使用新证书。
**步骤 4:删除旧证书**
使用以下过程完成 IdP 的证书轮换过程。必须始终列出至少一个有效的证书,并且无法将其删除。
**注意**
在删除该证书之前,请确保您的身份提供商不再使用此证书对 SAML 响应进行签名。
1. 在**管理 SAML 2.0 证书**页面上,选择要删除的证书。选择**删除**。
1. 在**删除 SAML 2.0 证书**对话框中,键入 **DELETE** 进行确认,然后选择**删除**。
1. 返回 IdP 的网站并执行必要的步骤来删除旧的非活动状态证书。
# 证书过期状态指示器
**管理 SAML 2.0 证书**页面在列表中每个证书旁边的**到期时间**列中显示彩色状态指示器图标。下面介绍了 IAM Identity Center 用来确定每个证书显示哪个图标的标准。
+ **红色** – 表示证书已到期。
+ **黄色** – 表示证书将在 90 天或更短时间内到期。
+ **绿色** – 表示证书目前有效,并且将至少再保持 90 天的有效期。
**要检查证书的当前状态**
1. 在 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)中,选择**设置**。
1. 在**设置**页面上,选择**身份源**选项卡,然后选择**操作>管理身份验证**。
1. 在**管理 SAML 2.0 身份验证**页面的**管理 SAML 2.0 证书**下,查看列表中证书的状态,如**过期时间**列中所示。
# Microsoft AD 目录
使用 AWS IAM Identity Center,您可以使用连接 Active Directory (AD) 中的自管理目录或中的 AWS Managed Microsoft AD 目录。 AWS Directory Service此 Microsoft AD 目录定义了管理员在使用 IAM Identity Center 控制台分配单点登录访问权限时可以从中提取的身份池。将您的公司目录连接到 IAM Identity Center 后,您可以向 AD 用户或群组授予对 AWS 账户应用程序或两者的访问权限。
AWS Directory Service 帮助您设置和运行托管在中的独立 AWS Managed Microsoft AD 目录 AWS 云。您还可以使用 Directory Service 将您的 AWS 资源与现有的自管理 AD 连接起来。 AWS Directory Service 要配置为使用自管理 AD,必须先设置信任关系以将身份验证扩展到云端。
IAM Identity Center 使用提供的连接 Directory Service 对源 AD 实例执行直通身份验证。当您使用 AWS Managed Microsoft AD 作为身份源时,IAM Identity Center 可以处理来自 AWS Managed Microsoft AD 或来自通过 AD 信任连接的任何域的用户。如果您想要在四个或更多域中找到用户,则用户在登录 IAM Identity Center 时必须使用 `DOMAIN\user` 语法作为其用户名。
**注意**
作为先决条件,请确保您的 AD Connector 或 AWS Managed Microsoft AD 中的目录 Directory Service 位于您的 AWS Organizations 管理账户中。
IAM Identity Center 不支持基于 SAMBA 4 的 Simple AD 作为连接目录。
IAM Identity Center 无法同步外部安全委托人 (FSPs)。如果中的群组 AWS Managed Microsoft AD 包含来自可信域的成员 FSPs,则这些成员将无法同步。
有关将 Active Directory 用作 IAM Identity Center 身份源的过程演示,请观看以下 YouTube 视频:
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/OMbob_ef7J4?si=J23xw0EGkZOo8y9n)
## 使用 Active Directory 的注意事项
如果要使用 Active Directory 作为身份源,则您的配置必须满足以下先决条件:
+ 如果您正在使用 AWS Managed Microsoft AD,则必须在设置 AWS Managed Microsoft AD 目录的同一 AWS 区域 位置启用 IAM 身份中心。IAM Identity Center 会将分配数据存储在与目录相同的区域中。要管理 IAM Identity Center,您可能需要切换到配置 IAM Identity Center 的区域。另外,请注意, AWS 访问门户使用的访问网址与您的目录相同。
+ 使用驻留在管理帐户中的 Active Directory:
您必须在中设置现有 AD Con AWS Managed Microsoft AD nector 或目录 AWS Directory Service,并且该目录必须位于您的 AWS Organizations 管理账户中。一次只能连接一个 AD Connector AWS Managed Microsoft AD 目录或一个目录。如果您需要支持多个域或林,请使用 AWS Managed Microsoft AD。有关更多信息,请参阅:
+ [将目录连接 AWS Managed Microsoft AD 到 IAM 身份中心](connectawsad.md)
+ [将 Active Directory 中的自行管理目录连接到 IAM Identity Center](connectonpremad.md)
+ 使用驻留在委托管理员帐户中的 Active Directory:
如果您计划启用 IAM Identity Center 委托管理员并使用 Active Directory 作为您的 IAM 身份中心身份源,则可以使用位于委托管理员账户中的现有 AD Connector 或 AWS Managed Microsoft AD AWS 目录中设置的目录。
如果您决定将 IAM Identity Center 身份源从任何其他源更改为 Active Directory,或者将其从 Active Directory 更改为任何其他源,则该目录必须驻留在 IAM Identity Center 委托管理员成员帐户(如果存在)中(归该帐户所有);否则,它必须位于管理帐户中。
# 连接 Active Directory 并指定用户
如果您已经在使用 Active Directory,以下主题可帮助您准备好将目录连接到 IAM Identity Center。
您可以将 Active Directory 中的 AWS Managed Microsoft AD 目录或自管理目录与 IAM 身份中心连接。
**注意**
IAM Identity Center 不支持将 SAMBA4基于的 Simple AD 作为身份源。
**AWS Managed Microsoft AD**
1. 请查看 [Microsoft AD 目录](manage-your-identity-source-ad.md) 中的指南。
1. 按照 [将目录连接 AWS Managed Microsoft AD 到 IAM 身份中心](connectawsad.md) 中的步骤操作。
1. 配置 Active Directory 以将您要向其授予管理权限的用户同步到 IAM Identity Center。有关更多信息,请参阅 [将管理用户同步到 IAM Identity Center 中](#sync-admin-user-from-ad)。
**Active Directory 中的自行管理目录**
1. 请查看 [Microsoft AD 目录](manage-your-identity-source-ad.md) 中的指南。
1. 按照 [将 Active Directory 中的自行管理目录连接到 IAM Identity Center](connectonpremad.md) 中的步骤操作。
1. 配置 Active Directory 以将您要向其授予管理权限的用户同步到 IAM Identity Center。有关更多信息,请参阅 [将管理用户同步到 IAM Identity Center 中](#sync-admin-user-from-ad)。
**外部 IdP**
1. 请查看 [外部身份提供者](manage-your-identity-source-idp.md) 中的指南。
1. 按照 [如何连接到外部身份提供商](how-to-connect-idp.md) 中的步骤操作。
1.
配置您的 IdP 以将用户预置到 IAM Identity Center 中。
**注意**
在设置所有人力身份的基于组的自动预调配(从 IdP 到 IAM Identity Center)之前,我们建议您将要向其授予管理权限的一个用户同步到 IAM Identity Center 中。
## 将管理用户同步到 IAM Identity Center 中
将您的 Active Directory 连接到 IAM Identity Center 后,您可以指定要向其授予管理权限的用户,然后将该用户从您的目录同步到 IAM Identity Center 中。
1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。
1. 选择**设置**。
1. 在**设置**页面上,选择**身份源**选项卡,从中选择**操作**,然后选择**管理同步**。
1. 在**管理同步**页面上,选择**用户**选项卡,然后选择**添加用户和组**。
1. 在**用户**选项卡的**用户**项下,输入确切的用户名并选择**添加**。
1. 在**已添加用户和组**项下,执行以下操作:
1. 确认已指定您要向其授予管理权限的用户。
1. 选中该用户名左边的复选框。
1. 选择**提交**。
1. 在**管理同步**页面中,您指定的用户将显示在**同步范围内的用户**列表中。
1. 在导航窗格中,选择 **Users**(用户)。
1. 在**用户**页面上,您指定的用户可能需要一些时间才会出现在列表中。选择刷新图标以更新用户列表。
此时,您的用户无权访问管理账户。您可以通过创建管理权限集并将用户分配给该权限集来设置对此帐户的管理访问权限。有关更多信息,请参阅 [创建权限集](howtocreatepermissionset.md)。
## 当用户来自 Active Directory 时进行预置
IAM Identity Center 使用提供的连接将用户、群组和成员资格信息从 Active Directory 中的源目录同步到 IAM 身份中心身份存储。 Directory Service 密码信息不会同步到 IAM Identity Center,因为用户身份验证直接通过 Active Directory 中的源目录进行。应用程序可使用此身份数据推进应用程序内的查找、授权和协作场景,无需将 LDAP 活动传递回 Active Directory 中的源目录。
有关预置的更多信息,请参阅 [用户和组预调配](users-groups-provisioning.md#user-group-provision)。
**Topics**
+ [使用 Active Directory 的注意事项](#considerations-ad-identitysource)
+ [连接 Active Directory 并指定用户](get-started-connect-id-source-ad-idp-specify-user.md)
+ [当用户来自 Active Directory 时进行预置](#provision-users-from-ad)
+ [将目录连接 AWS Managed Microsoft AD 到 IAM 身份中心](connectawsad.md)
+ [将 Active Directory 中的自行管理目录连接到 IAM Identity Center](connectonpremad.md)
+ [IAM Identity Center 与外部身份提供者目录之间的属性映射](attributemappingsconcept.md)
+ [IAM Identity Center 可配置 AD 同步](provision-users-from-ad-configurable-ADsync.md)
# 将目录连接 AWS Managed Microsoft AD 到 IAM 身份中心
使用以下步骤将中 AWS Managed Microsoft AD 由管理的目录连接 AWS Directory Service 到 IAM Identity Center。
**连接 AWS Managed Microsoft AD 到 IAM 身份中心**
1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。
**注意**
在进行下一步之前,请确保 IAM Identity Center 控制台正在使用您的 AWS Managed Microsoft AD 目录所在的区域之一。
1. 选择**设置**。
1. 在**设置**页面上,选择**身份源**选项卡,然后选择**操作>更改身份源**。
1. 在**选择身份源**下,选择**活动目录**,然后选择**下一步**。
1. 在**连接活动目录**下,从列表中的 AWS Managed Microsoft AD 中选择一个目录,然后选择**下一步**。
1. 在**确认更改**下,查看信息,准备就绪后键入**接受**,然后选择**更改身份源**。
**重要**
要将 Active Directory 中的用户指定为 IAM Identity Center 中的管理用户,您必须首先将要向其授予管理权限的用户从 Active Directory 同步到 IAM Identity Center。为此,请按照[将管理用户同步到 IAM Identity Center 中](get-started-connect-id-source-ad-idp-specify-user.md#sync-admin-user-from-ad)中的步骤进行操作。
# 将 Active Directory 中的自行管理目录连接到 IAM Identity Center
您在 Active Directory (AD) 中自行管理的目录中的用户也可以通过单点登录访问 AWS 账户 权限访问访问 AWS 门户中的应用程序。要为这些用户配置单点登录访问,您可以执行以下任一操作:
+ **创建双向信任关系**-在 AD 中 AWS Managed Microsoft AD 与自管理目录之间创建双向信任关系时,AD 中自我管理目录中的用户可以使用其公司凭据登录各种 AWS 服务和业务应用程序。单向信任不适用于 IAM Identity Center。
AWS IAM Identity Center 需要双向信任,以便它有权从您的域中读取用户和群组信息,从而同步用户和群组元数据。IAM Identity Center 在分配对权限集或应用程序的访问权限时使用此元数据。应用程序还使用用户和组元数据进行协作,例如当您与其他用户或组共享仪表板时。Microsoft Active Directory 对你的域的信任允许 IAM 身份中心信任你的域进行身份验证。 Directory Service 相反方向的信任会授予读取用户和群组元数据的 AWS 权限。
有关设置双向信任的详细信息,请参阅 *AWS Directory Service 管理指南*中的[何时创建信任关系](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/setup_trust.html)。
**注意**
为了使用诸如 IAM Identity Center 之类的 AWS 应用程序从可信域读取 Directory Service 目录用户,这些 Directory Service 账户需要对可信用户的 userAccountControl属性拥有权限。如果没有此属性的读取权限, AWS 应用程序就无法确定是启用还是禁用了该账户。
创建信任时,默认会提供对该属性的读取权限。如果您拒绝对此属性的访问权限(不推荐),会让 Identity Center 等应用程序无法读取可信用户。解决方案是专门允许对预 AWS 留 OU(前缀为 AWS\$1)下的 AWS 服务帐号的`userAccountControl`属性的读取权限。
+ **创建 AD Connector**——AD Connector 是一个目录网关,可以将目录请求重定向到您的自行管理 AD,而无需在云中缓存任何信息。有关详细信息,请参阅 *AWS Directory Service 管理指南*中的[连接到目录](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_ad_connector.html)。以下是配置 AD Connector 策略时的注意事项:
+ 如果您将 IAM Identity Center 连接到 AD Connector 目录,则任何未来的用户密码重置都必须在 AD 内完成。这意味着用户将无法从 AWS 访问门户重置密码。
+ 如果您使用 AD Connector 将 Active Directory 域服务连接到 IAM Identity Center,则 IAM Identity Center 仅有权访问 AD Connector 附加到的单个域的用户和组。如果您需要支持多个域或林,请对 Microsoft Active Directory 使用 Directory Service 。
**注意**
IAM 身份中心不适用于 SAMBA4基于 Simple AD 的目录。
# IAM Identity Center 与外部身份提供者目录之间的属性映射
属性映射可用于将 IAM Identity Center 中存在的属性类型与 Google Workspace、Microsoft Active Directory (AD) 和 Okta 等外部身份源中的类似属性进行映射。IAM Identity Center 从身份源目录检索用户属性并将其映射到 IAM Identity Center 用户属性。
如果您的 IAM Identity Center 同步使用**外部身份提供者**(IdP)(如 Google Workspace、Okta 或 Ping)作为身份源,您将需要在 IdP 中映射属性。
IAM Identity Center 在其配置页面上的**属性映射**选项卡下为您预填充一组属性。IAM Identity Center 使用这些用户属性来填充发送到应用程序的 SAML 断言(作为 SAML 属性)。反过来,系统会从身份源中检索这些用户属性。每个应用程序都会确定为了成功实现单点登录,其所需的 SAML 2.0 属性列表。有关更多信息,请参阅 [将应用程序中的属性映射到 IAM Identity Center 属性](mapawsssoattributestoapp.md)。
如果将 Active Directory 用作身份源,IAM Identity Center 还会在 **Active Directory 配置**页面的**属性映射**部分下为您管理一组属性。有关更多信息,请参阅 [在 IAM Identity Center 和 Microsoft AD 目录之间映射用户属性](mapssoattributestocdattributes.md)。
## 支持的外部身份提供商属性
下表列出了所有受支持且可以映射到您在 IAM Identity Center 中配置 [访问控制属性](attributesforaccesscontrol.md) 时可以使用的属性的外部身份提供者(IdP)属性。使用 SAML 断言时,您可以使用 IdP 支持的任何属性。
****
| IdP 中支持的属性 |
| --- |
| \$1\$1path:userName\$1 |
| \$1\$1path:name.familyName\$1 |
| \$1\$1path:name.givenName\$1 |
| \$1\$1path:displayName\$1 |
| \$1\$1path:nickName\$1 |
| \$1\$1path:emails[primary eq true].value\$1 |
| \$1\$1path:addresses[type eq "work"].streetAddress\$1 |
| \$1\$1path:addresses[type eq "work"].locality\$1 |
| \$1\$1path:addresses[type eq "work"].region\$1 |
| \$1\$1path:addresses[type eq "work"].postalCode\$1 |
| \$1\$1path:addresses[type eq "work"].country\$1 |
| \$1\$1path:addresses[type eq "work"].formatted\$1 |
| \$1\$1path:phoneNumbers[type eq "work"].value\$1 |
| \$1\$1path:userType\$1 |
| \$1\$1path:title\$1 |
| \$1\$1path:locale\$1 |
| \$1\$1path:timezone\$1 |
| \$1\$1path:enterprise.employeeNumber\$1 |
| \$1\$1path:enterprise.costCenter\$1 |
| \$1\$1path:enterprise.organization\$1 |
| \$1\$1path:enterprise.division\$1 |
| \$1\$1path:enterprise.department\$1 |
| \$1\$1path:enterprise.manager.value\$1 |
## IAM Identity Center 与 Microsoft AD 之间的默认映射
下表列出了 IAM Identity Center 中的用户属性到 Microsoft AD 目录中的用户属性的默认映射。IAM Identity Center 仅支持 **IAM Identity Center 列中的用户属性**中的属性列表。
****
| IAM Identity Center 中的用户属性 | 映射到您的 Active Directory 中的此属性 |
| --- | --- |
| displayname | \$1\$1displayname\$1 |
| emails[?primary].value \$1 | \$1\$1mail\$1 |
| externalid | \$1\$1objectguid\$1 |
| name.givenname | \$1\$1givenname\$1 |
| name.familyname | \$1\$1sn\$1 |
| name.middlename | \$1\$1initials\$1 |
| sid | \$1\$1objectsid\$1 |
| username | \$1\$1userprincipalname\$1 |
\$1 IAM Identity Center 中的电子邮件属性在目录中必须是唯一的。
****
| IAM Identity Center 中的组属性 | 映射到您的 Active Directory 中的此属性 |
| --- | --- |
| externalid | \$1\$1objectguid\$1 |
| description | \$1\$1description\$1 |
| displayname | \$1\$1samaccountname\$1@\$1associateddomain\$1 |
**注意事项**
+ 如果您在启用可配置 AD 同步时在 IAM Identity Center 中没有为您的用户和组进行任何分配,则将使用前面表格中的默认映射。有关如何自定义这些映射的信息,请参阅 [配置用于同步的属性映射](manage-sync-configure-attribute-mapping-configurable-ADsync.md)。
+ 某些 IAM Identity Center 属性无法修改,因为它们是不可变的,并且默认映射到特定的 Microsoft AD 目录属性。
例如,username 是 IAM Identity Center 的必填属性。如果将 username 映射到值为空的 AD 目录属性,IAM Identity Center 会将 `windowsUpn` 值视为 username 的默认值。如果想从当前映射中更改 username 的属性映射,请在更改之前确认与 username 存在依赖关系的 IAM Identity Center 流程会继续按预期运行。
## IAM Identity Center 支持的 Microsoft AD 属性
下表列出了所有受支持且可映射到 IAM Identity Center 中的用户属性的 Microsoft AD 目录属性。
****
| Microsoft AD 目录支持的属性 |
| --- |
| \$1\$1samaccountname\$1 |
| \$1\$1description\$1 |
| \$1\$1objectguid\$1 |
| \$1\$1objectsid\$1 |
| \$1\$1givenname\$1 |
| \$1\$1sn\$1 |
| \$1\$1initials\$1 |
| \$1\$1mail\$1 |
| \$1\$1userprincipalname\$1 |
| \$1\$1displayname\$1 |
| \$1\$1distinguishedname\$1 |
| \$1\$1proxyaddresses[?type == "SMTP"].value\$1 |
| \$1\$1proxyaddresses[?type == "smtp"].value\$1 |
| \$1\$1useraccountcontrol\$1 |
| \$1\$1associateddomain\$1 |
**注意事项**
+ 您可以指定受支持的 Microsoft AD 目录属性的任意组合以映射到 IAM Identity Center 中的单个可变属性。
## Microsoft AD 支持的 IAM Identity Center 属性
下表列出了受支持且可以映射到 Microsoft AD 目录中的用户属性的所有 IAM Identity Center 属性。设置应用程序属性映射后,您可以使用这些相同的 IAM Identity Center 属性来映射到该应用程序使用的实际属性。
****
| IAM Identity Center 中 Active Directory 支持的属性 |
| --- |
| \$1\$1user:AD\$1GUID\$1 |
| \$1\$1user:AD\$1SID\$1 |
| \$1\$1user:email\$1 |
| \$1\$1user:familyName\$1 |
| \$1\$1user:givenName\$1 |
| \$1\$1user:middleName\$1 |
| \$1\$1user:name\$1 |
| \$1\$1user:preferredUsername\$1 |
| \$1\$1user:subject\$1 |
# 在 IAM Identity Center 和 Microsoft AD 目录之间映射用户属性
您可以使用以下过程指定 IAM Identity Center 中的用户属性应如何映射到 Microsoft AD 目录中对应的属性。
**将 IAM Identity Center 中的属性映射到目录中的属性**
1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。
1. 选择**设置**。
1. 在**设置**页面上,选择**访问控制的属性**选项卡,然后选择**管理属性**。
1. 在**管理访问控制属性**页面上,在 IAM Identity Center 中找到您要映射的属性,然后在文本框中键入值。例如,您可能希望将 IAM Identity Center 用户属性 **`email`** 映射到 Microsoft AD 目录属性 **`${mail}`**。
1. 选择**保存更改**。
# IAM Identity Center 可配置 AD 同步
IAM Identity Center 可配置的 Active Directory (AD) 同步使您能够显式配置 Microsoft Active Directory 中的身份,这些身份会自动同步到 IAM Identity Center 并控制同步过程。
+ 在该同步方法中,您可以执行下述步骤:
+ 通过显式定义 Microsoft Active Directory 中自动同步到 IAM Identity Center 的用户和组来控制数据边界。您可以随时[添加用户和组](manage-sync-add-users-groups-configurable-ADsync.md)或[删除用户和组](manage-sync-remove-users-groups-configurable-ADsync.md)以更改同步范围。
+ 为同步用户和组分配[对 AWS 账户的单点登录访问权限](useraccess.md)或[对应用程序的访问权限](assignuserstoapp.md)。这些应用程序可以是 AWS 托管应用程序或客户管理的应用程序。
+ 通过根据需要[暂停和恢复同步](manage-sync-pause-resume-sync-configurable-ADsync.md)来控制同步过程。这可以帮助您调节生产系统的负载。
## 先决条件和注意事项
在使用可配置的 AD 同步之前,请注意以下先决条件和注意事项:
+ **指定 Active Directory 中要同步的用户和组**
在使用 IAM Identity Center 为新用户和群组分配 AWS 托管应用程序或客户托管应用程序的访问权限之前,您必须在 Active Directory 中指定要同步的用户和群组,然后将其同步到 IAM Identity Center 中。 AWS 账户
+ **可配置的 AD 同步**——IAM Identity Center 不会直接在域控制器中搜索用户和组。相反,您必须首先指定要同步的用户和组的列表。您可以通过以下方式之一配置此列表(也称为*同步范围*),具体取决于您的用户和组是否已同步到 IAM Identity Center,或者您有新用户和组是首次使用可配置的 AD 同步进行同步。
+ 现有用户和组:如果您的用户和组已同步到 IAM Identity Center,则可配置 AD 同步中的同步范围将预先填充这些用户和组的列表。要分配新用户或组,您必须专门将它们添加到同步范围。有关更多信息,请参阅 [将用户和组添加到您的同步范围](manage-sync-add-users-groups-configurable-ADsync.md)。
+ 新用户和组:如果您想要为新用户和组分配对 AWS 账户 和应用程序的访问权限,您必须在可配置的 AD 同步中指定要添加到同步范围的用户和组,然后才能使用 IAM Identity Center 进行分配。有关更多信息,请参阅 [将用户和组添加到您的同步范围](manage-sync-add-users-groups-configurable-ADsync.md)。
+ **分配到 Active Directory 中的嵌套组**
作为其他组成员的组称为*嵌套组*(或子组)。
+ **可配置 AD 同步** – 使用可配置 AD 同步分配 Active Directory 中包含嵌套组的组,可能会扩大有权访问 AWS 账户 或应用程序的用户范围。在这种情况下,分配将应用于所有用户,包括嵌套组中的用户。例如,如果您向组 A 分配访问权限,而组 B 是组 A 的成员,则组 B 的成员也会继承此访问权限。
+ **更新自动化工作流程**
如果您有自动化工作流程,其使用 IAM Identity Center 身份存储 API 操作和 IAM Identity Center 分配 API 操作来分配新用户和组对帐户和应用程序的访问权限并将其同步到 IAM Identity Center,您必须通过以下方式调整这些工作流程: 2022 年 4 月 15 日,以便它们通过可配置的 AD 同步按预期运行。可配置的 AD 同步可更改用户和组分配和预置发生的顺序以及执行查询的方式。
+ **可配置的 AD 同步**——首先进行预置,并且不会自动执行。相反,您必须首先通过将用户和组添加到同步范围来明确将用户和组添加到身份存储。有关自动执行同步配置以实现可配置 AD 同步的建议步骤的信息,请参阅 [自动执行同步配置以实现可配置的 AD 同步](automate-sync-configuration-configurable-ADsync.md)。
**Topics**
+ [先决条件和注意事项](#prerequisites-configurable-ADsync)
+ [可配置 AD 同步的工作原理](how-it-works-configurable-ADsync.md)
+ [配置用于同步的属性映射](manage-sync-configure-attribute-mapping-configurable-ADsync.md)
+ [首次将 Active Directory 同步到 IAM Identity Center 的设置](manage-sync-configurable-ADsync.md)
+ [将用户和组添加到您的同步范围](manage-sync-add-users-groups-configurable-ADsync.md)
+ [从同步范围中删除用户和组](manage-sync-remove-users-groups-configurable-ADsync.md)
+ [暂停和恢复同步](manage-sync-pause-resume-sync-configurable-ADsync.md)
+ [自动执行同步配置以实现可配置的 AD 同步](automate-sync-configuration-configurable-ADsync.md)
# 可配置 AD 同步的工作原理
IAM Identity Center 使用以下过程刷新身份存储中基于 AD 的身份数据。要了解有关先决条件的更多信息,请参阅 [先决条件和注意事项](provision-users-from-ad-configurable-ADsync.md#prerequisites-configurable-ADsync)。
## 创建
将 Active Directory 中的自我管理 AWS Managed Microsoft AD 目录或由管理的目录连接 Directory Service 到 IAM 身份中心后,您可以显式配置要同步到 IAM 身份中心身份存储中的 Active Directory 用户和群组。您选择的身份将每三个小时左右同步到 IAM Identity Center 身份存储中。根据目录的大小,同步过程可能需要更长的时间。
作为其他组成员的组(称为*嵌套组*或*子组*)也会写入身份存储。
您只能在新用户或组同步到 IAM Identity Center 身份存储后为其分配访问权限。
## 更新
通过定期从 Active Directory 中的源目录读取数据,IAM Identity Center 身份存储中的身份数据保持最新。IAM Identity Center 默认会在同步周期内每小时同步来自 Active Directory 的数据。根据 Active Directory 的大小,数据可能需要 30 分钟到 2 小时才能同步到 IAM Identity Center。
同步范围内的用户和组对象及其成员身份在 IAM Identity Center 中创建或更新,以映射到 Active Directory 源目录中的相应对象。对于用户属性,仅在 IAM Identity Center 控制台的**访问控制属性**部分中列出的属性子集会在 IAM Identity Center 中更新。您在 Active Directory 中所做的任何属性更新,可能需要一个同步周期才能反映在 IAM Identity Center 中。
您还可以更新同步到 IAM Identity Center 身份存储中的用户和组子集。您可以选择将新用户或组添加到此子集中,或将其删除。您添加的任何身份都会在下一次计划的同步时同步。您从子集中删除的身份将停止在 IAM Identity Center 身份存储中更新。超过 28 天未同步的任何用户都将在 IAM Identity Center 身份存储中被禁用。在下一个同步周期期间,相应的用户对象将在 IAM Identity Center 身份存储中自动禁用,除非它们属于仍属于同步范围的另一个组的一部分。
## 删除
当从 Active Directory 中的源目录中删除相应的用户或组对象时,用户和组将从 IAM Identity Center 身份存储中删除。或者,您可以使用 IAM Identity Center 控制台从 IAM Identity Center 身份存储中明确删除用户对象。如果您使用 IAM Identity Center 控制台,您还必须从同步范围中删除用户,以确保他们在下一个同步周期内不会重新同步回 IAM Identity Center。
您还可以随时暂停和恢复同步。如果您暂停同步的时间超过 28 天,则所有用户都将被禁用。
# 配置用于同步的属性映射
有关属性的更多信息,请参阅 [IAM Identity Center 与外部身份提供者目录之间的属性映射](attributemappingsconcept.md)。
**在 IAM Identity Center 中配置到您的目录的属性映射**
1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。
1. 选择**设置**。
1. 在**设置**页面上,选择**身份源**选项卡,从中选择**操作**,然后选择**管理同步**。
1. 在**管理同步**下,选择**查看属性映射**。
1. 在 **Active Directory 用户属性**下,配置 **IAM Identity Center 身份存储属性**和 **Active Directory 用户属性**。例如,您可能希望将 IAM Identity Center 身份存储属性 `email` 映射到 Active Directory 用户目录属性 `${objectguid}`。
**注意**
在**组属性**下,无法更改 **IAM Identity Center 身份存储属性**和 **Active Directory 组属性**。
1. 选择**保存更改**。这将返回**管理同步**页面。
# 首次将 Active Directory 同步到 IAM Identity Center 的设置
如果是首次将用户和组从 Active Directory 同步到 IAM Identity Center,请按照以下步骤操作。或者,您可以遵循 [更改您的身份源](manage-your-identity-source-change.md) 中概述的步骤,将身份源从 IAM Identity Center 更改为 Active Directory。
## 引导式设置
1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。
**注意**
在进入下一步之前,请确保 IAM Identity Center 控制台使用的是您的 AWS Managed Microsoft AD 目录所在的控制台。 AWS 区域
1. 选择**设置**。
1. 在页面顶部的通知消息中,选择**启动引导式设置**。
1. 在**步骤 1——*可选*:配置属性映射**中,查看默认的用户和组属性映射。如果不需要更改,请选择**下一步**。如果需要更改,请进行更改,然后选择**保存更改**。
1. 在**步骤 2——*可选*:配置同步范围**中,选择**用户**选项卡。然后,输入要添加到同步范围的用户的确切用户名,然后选择**添加**。接下来,选择 **组** 选项卡。输入要添加到同步范围的组的确切组名称,然后选择**添加**。然后选择**下一步**。如果您想稍后将用户和组添加到同步范围,请不进行任何更改并选择**下一步**。
1. 在**步骤 3:查看并保存配置**中,确认**步骤 1:属性映射**中的**属性映射**以及**步骤 2:同步范围**中的**用户和组**。选择 **Save configuration**。这将带您进入**管理同步**页面。
# 将用户和组添加到您的同步范围
**注意**
将群组添加到同步范围时,请直接从受信任的本地域同步群组,而不是从域中的群组同步群组。 AWS Managed Microsoft AD 直接从可信域同步的群组包含 IAM Identity Center 可以成功访问和同步的实际用户对象。
按照以下步骤将 Active Directory 用户和组添加到 IAM Identity Center。
**添加用户**
1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。
1. 选择**设置**。
1. 在**设置**页面上,选择**身份源**选项卡,从中选择**操作**,然后选择**管理同步**。
1. 在**管理同步**页面上,选择**用户**选项卡,然后选择**添加用户和组**。
1. 在**用户**选项卡的**用户**项下,输入确切的用户名并选择**添加**。
1. 在**已添加的用户和组**下,查看要添加的用户。
1. 选择**提交**。
1. 在导航窗格中,选择 **Users**(用户)。如果列表中未显示您指定的用户,请选择刷新图标更新用户列表。
**添加组**
1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。
1. 选择**设置**。
1. 在**设置**页面上,选择**身份源**选项卡,从中选择**操作**,然后选择**管理同步**。
1. 在**管理同步**页面上,选择**组**选项卡,然后选择**添加用户和组**。
1. 选择**组**选项卡。在**组**下,输入准确的组名称并选择**添加**。
1. 在**已添加的用户和组**下,查看要添加的组。
1. 选择**提交**。
1. 在导航窗格中,选择 **组**。如果列表中未显示您指定的组,请选择刷新图标更新组列表。
# 从同步范围中删除用户和组
有关从同步范围中删除用户和组时会发生什么情况的详细信息,请参阅 [可配置 AD 同步的工作原理](how-it-works-configurable-ADsync.md)。
**删除用户**
1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。
1. 选择**设置**。
1. 在**设置**页面上,选择**身份源**选项卡,从中选择**操作**,然后选择**管理同步**。
1. 选择**用户**选项卡。
1. 在**同步范围内的用户**下,选中要删除的用户旁边的复选框。要删除所有用户,请选中**用户名**旁边的复选框。
1. 选择**移除 **。
**移除组**
1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。
1. 选择**设置**。
1. 在**设置**页面上,选择**身份源**选项卡,从中选择**操作**,然后选择**管理同步**。
1. 选择**组**选项卡。
1. 在**同步范围内的组**下,选中要删除的用户旁边的复选框。要删除所有组,请选中**组名称**旁边的复选框。
1. 选择**移除 **。
# 暂停和恢复同步
暂停同步会暂停所有未来的同步周期,并防止您对 Active Directory 中的用户和组所做的任何更改反映在 IAM Identity Center 中。恢复同步后,同步周期将从下一次计划的同步中获取这些更改。
**暂停同步**
1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。
1. 选择**设置**。
1. 在**设置**页面上,选择**身份源**选项卡,从中选择**操作**,然后选择**管理同步**。
1. 在**管理同步**下,选择**暂停同步**。
**恢复同步**
1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。
1. 选择**设置**。
1. 在**设置**页面上,选择**身份源**选项卡,从中选择**操作**,然后选择**管理同步**。
1. 在**管理同步**下,选择**恢复同步**。
**注意**
如果您看到**暂停同步**而不是**恢复同步**,则表明从 Active Directory 到 IAM Identity Center 的同步已恢复。
# 自动执行同步配置以实现可配置的 AD 同步
为了确保您的自动化工作流程通过可配置的 AD 同步按预期工作,我们建议您执行以下步骤来自动化同步配置。
**要自动执行同步配置以实现可配置的 AD 同步**
1. 在 Active Directory 中,创建一个*父同步组*以包含您想要同步到 IAM Identity Center 的所有用户和组。例如,您可以为该组命名*IAMIdentityCenterAllUsersAndGroups*。
1. 在 IAM Identity Center 中,将父同步组添加到您的可配置同步列表中。IAM Identity Center 将同步父同步组中包含的所有用户、组、子组以及所有组的成员。
1. 使用 Microsoft 提供的 Active Directory 用户和组管理 API 操作在父同步组中添加或删除用户和组。