通过其他地区访问员工 - AWS IAM Identity Center
跨多个用户会话 AWS 区域AWS 访问主服务器和其他服务器中的门户终端节点 AWS 区域主端点和附加端点中的 ACS 端点 AWS 区域使用没有多个 ACS 的 AWS 托管应用程序 URLs

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

通过其他地区访问员工

本节介绍当您在多个区域启用 IAM Identity AWS 账户 Center 后,您的员工如何访问、和应用程序。 AWS 访问门户

“ AWS 访问门户 在其他区域” 中 AWS 账户显示您的员工可以访问的和应用程序,其方式与在主要区域中相同。您的员工可以通过直接链接到区域门户终端节点(例如https://ssoins-111111h2222j33pp.eu-west-1.portal.amazonaws.com)或通过您在外部 IdP 中设置的书签应用程序登录其他区域。 AWS 访问门户

您可以使用其他区域中的 AWS 访问门户 终端节点来授予以 IAM 身份中心用户身份访问的权限。 AWS CLI APIs 此功能的工作方式与在主区域中的工作方式相同。但是,不会在已启用的区域之间复制 CLI 授权。因此,您必须在每个区域单独授权 CLI。

跨多个用户会话 AWS 区域

IAM Identity Center 将用户会话从原始区域复制到其他已启用的区域。一个区域中的会话撤消和注销也会复制到其他区域。

IAM 身份中心管理员撤销会话

IAM 身份中心管理员可以撤消其他区域的用户会话。由于会话是跨区域复制的,因此在正常情况下,撤消单个区域中的会话并让 IAM Identity Center 将更改复制到其他已启用的区域即可。如果 IAM Identity Center 的主区域出现中断,管理员可以在其他区域执行此操作。

AWS 访问门户 主端点和其他端点 AWS 区域

如果您需要在已启用区域的 AWS 访问门户 URLs 中查找,请按照以下步骤操作:

  1. 打开 IAM Identity Center 控制台

  2. 在导航窗格中,选择设置

  3. 选择管理选项卡。

  4. IAM 身份中心区域部分,选择查看所有 AWS 访问门户 URLs

下表指定了 IAM Identity Center 实例的主区域和其他区域的 AWS 访问门户 终端节点。

AWS 访问门户 endpoint 主 区域 其他区域 网址模式和示例
IPv4 仅限经典 1

图案:https://[Identity Store ID].awsapps.com/start

示例https://d-12345678.awsapps.com/start
IPv4 仅限自定义别名 1 是(可选)

图案:https://[custom alias].awsapps.com/start

示例https://mycompany.awsapps.com/start
IPv4 仅有备选方案 2 支持

图案:https://[Identity Center instance ID]. [Region].portal.amazonaws.com

示例https://ssoins-111111h2222j33pp.eu-west-1.portal.amazonaws.com
双栈 2 支持

图案:https://[Identity Center instance ID].portal. [Region].app.aws

示例https://ssoins-111111h2222j33pp.portal.eu-west-1.app.aws

1 在其他区域,不支持自定义别名,awsapps.com父域名不可用。

2 IPv4 仅限替代方案,双栈门户端点的网址/start中没有尾随字符。

主端点和附加端点中的断言消费者服务 (ACS) 端点 AWS 区域

如果您需要查找 ACS URLs 或将其作为 SAML 元数据的一部分下载,请按照以下步骤操作:

  1. 打开 IAM Identity Center 控制台

  2. 在导航窗格中,选择设置

  3. 选择 “身份来源” 选项卡。

  4. 在 “操作” 下拉菜单中,选择 “管理身份验证”。

  5. 服务提供商元数据部分显示每个已启用区域的 AWS 访问门户 和 ACS URL。 IPv4-only 和 dual-stack 显示 URLs 在单独的选项卡上。如果您的 IdP 支持上传 SAML 元数据文件,则可以选择下载元数据文件来下载所有 ACS 的 SAML 元数据文件。 URLs如果您的 IdP 不支持上传元数据文件,或者您更喜欢单独添加 ACS,则可以 URLs 从控制台的表格中 URLs 单独复制,或者选择查看 ACS, URLs然后选择全部复制。 URLs保留已为主区域配置的 ACS URL,以确保服务提供商启动的 SAML 从主区域进行单点登录仍能正常运行。

下表指定了 IAM Identity Center 实例的主区域和其他区域的 SAML 断言消费者服务 (ACS) 终端节点:

ACS 端点 主 区域 其他区域 网址模式和示例
IPv4 只有 支持

图案:https://[Region].signin.aws/platform/saml/acs/[Tenant ID]

示例 https://us-west-2.signin.aws/platform/saml/acs/1111111111111111-aaee-ffff-dddd-11111111111
IPv4 仅限备选*

图案:https://[Region] .signin.aws.amazon.com/platform/saml/acs/[Tenant ID]

示例 https://us-west-2.signin.aws.amazon.com/platform/saml/acs/1111111111111111-aaee-ffff-dddd-11111111111
双堆栈 支持

图案:https://[Region].sso.signin.aws/platform/saml/acs/[Tenant ID]

示例 https://us-west-2.sso.signin.aws/platform/saml/acs/1111111111111111-aaee-ffff-dddd-11111111111

* 对于 2026 年 2 月之前启用的实例,请保留此终端节点,因为服务提供商发起的 SAML 单点登录到主区域需要它。IAM Identity Center 不会将此终端节点用于在 2026 年 2 月或之后启用的实例。

使用没有多个 ACS 的 AWS 托管应用程序 URLs

一些外部身份提供商 (IdPs) URLs 在其 IAM Identity Center 应用程序中不支持多重断言消费者服务 (ACS)。多 URLs 个 ACS 是一项 SAML 功能,需要在多区域 IAM 身份中心中直接登录特定区域。

例如,如果您通过应用程序链接启动 AWS 托管应用程序,则系统会通过该应用程序连接的 IAM 身份中心区域触发登录。但是,如果未在外部 IdP 中配置该区域的 ACS URL,则登录将失败。

要解决此问题,请与您的 IdP 供应商合作,启用对多个 ACS 的支持。 URLs同时,您仍然可以在其他区域使用 AWS 托管应用程序。首先,登录在外部 IdP 中配置 ACS URL 的区域(默认为主区域)。在 IAM Identity Center 中激活会话后,您可以从任何已启用区域的 AWS 访问门户或通过应用程序链接启动应用程序。