本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 啟用 IAM Identity Center
<a name="enable-identity-center"></a>

當您啟用 IAM Identity Center 時，您可以選擇要啟用的 AWS IAM Identity Center 執行個體類型。服務執行個體是您 AWS 環境中服務的單一部署。IAM Identity Center 有兩種類型的執行個體：組織執行個體和帳戶執行個體。您可以啟用的執行個體類型取決於您登入的帳戶類型。

下列清單識別您可以為每種類型啟用的 IAM Identity Center 執行個體類型 AWS 帳戶：
+ **您的 AWS Organizations 管理帳戶 （建議）** – 建立 IAM Identity Center [的組織執行個體](organization-instances-identity-center.md)時需要。將組織執行個體用於整個組織的多帳戶許可和應用程式指派。您可以將此執行個體類型複寫至其他 區域，以在選擇 AWS 應用程式部署區域時增強帳戶存取和彈性的彈性。
+ **您的 AWS Organizations 成員帳戶** – 用來建立 IAM Identity Center [的帳戶執行個體](account-instances-identity-center.md)，以在該成員帳戶中啟用應用程式指派。組織中可以存在一或多個具有成員層級執行個體的帳戶。
+ **獨立 – AWS 帳戶**用來建立 IAM Identity Center [的組織執行個體](organization-instances-identity-center.md)或[帳戶執行個體](account-instances-identity-center.md)。獨立 AWS 帳戶 不是由 管理 AWS Organizations。您只能將 IAM Identity Center 的一個執行個體與獨立建立關聯， AWS 帳戶 並使用該執行個體在該獨立內進行應用程式指派 AWS 帳戶。

**重要**  
組織管理帳戶可以使用服務控制政策，控制[組織成員帳戶是否可以建立 IAM Identity Center 的帳戶執行個體](https://docs.aws.amazon.com/singlesignon/latest/userguide/control-account-instance.html)。  
如果您使用免費方案帳戶，建立 AWS 組織會自動將您的帳戶升級至付費計劃，並pay-as-you-go計費。您的免費方案點數會立即過期。如需詳細資訊，請參閱 [AWS 免費方案FAQs](https://aws.amazon.com/free/free-tier-faqs/)。

如需不同執行個體類型所提供不同功能的比較，請參閱 [IAM Identity Center 的組織和帳戶執行個體](identity-center-instances.md)。

啟用 IAM Identity Center 之前，建議您檢閱 [IAM Identity Center 先決條件和考量事項](identity-center-prerequisites.md)。

## 啟用 IAM Identity Center 的執行個體
<a name="to-enable-identity-center-instance"></a>

選擇您要啟用之 IAM Identity Center 執行個體類型的索引標籤，無論是組織或帳戶執行個體：

------
#### [ Organization (recommended) ]

1. 執行下列其中一項操作來登入 AWS 管理主控台。
   + **新使用者 AWS （根使用者）** – 選擇**根使用者**並輸入 AWS 帳戶 您的電子郵件地址，以帳戶擁有者的身分登入。在下一頁中，輸入您的密碼。
   + **已使用 AWS 搭配獨立 AWS 帳戶 (IAM 憑證）** – 使用您的 IAM 憑證搭配管理許可來登入。
   + **已使用 AWS Organizations (IAM 登入資料）** – 使用您的管理帳戶登入資料登入。

1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。

1. （選用） 如果您想要使用客戶受管 KMS 金鑰進行靜態加密，而不是使用預設 AWS 的受管金鑰，請在金鑰區段中設定客戶受管**金鑰，以加密靜態 IAM Identity Center 資料**。如需詳細資訊，請參閱 [在 中實作客戶受管 KMS 金鑰 AWS IAM Identity Center](identity-center-customer-managed-keys.md)。
**重要**  
只有在您已設定使用 KMS 客戶受管金鑰的必要許可時，才執行此步驟。如果沒有適當的許可，此步驟可能會失敗或中斷 IAM Identity Center 管理和 AWS 受管應用程式。

1. 在**啟用 IAM Identity Center** 下，選擇**啟用**。

1. 在**使用 啟用 IAM Identity Center AWS Organizations** 頁面上，檢閱資訊，然後選取**啟用**以完成程序。
**注意**  
AWS Organizations 只能在單一區域中啟用 IAM Identity Center AWS 。啟用 IAM Identity Center 之後，如果您需要在其中變更啟用 IAM Identity Center 的區域，則必須[刪除](delete-config.md)目前的執行個體，並在其他區域中建立執行個體。

啟用組織執行個體之後，建議您執行下列步驟以完成環境設定：
+ 確認您使用的是您選擇的身分來源。如果您已有指派的身分來源，您可以繼續使用。如需詳細資訊，請參閱[在 IAM Identity Center 中確認您的身分來源](confirm-identity-source.md)。
+ 將成員帳戶註冊為委派管理員。如需詳細資訊，請參閱[委派的管理](delegated-admin.md)。
+ IAM Identity Center 為您提供 AWS 資源的存取入口網站。如果您使用新一代防火牆 (NGFW) 或安全 Web Gateway (SWG) 等 Web 內容篩選解決方案來篩選特定 AWS 網域或 URL 端點的存取，請參閱 [更新防火牆和閘道以允許存取 AWS 存取入口網站](enable-identity-center-portal-access.md)。

------
#### [ Account ]

1. 執行下列其中一項操作來登入 AWS 管理主控台。
   + **新使用者 AWS （根使用者）** – 選擇**根使用者**並輸入 AWS 帳戶 您的電子郵件地址，以帳戶擁有者的身分登入。在下一頁中，輸入您的密碼。
   + **已使用 AWS (IAM 登入資料）** – 使用具有管理許可的 IAM 登入資料登入。
   + **已使用 AWS Organizations (IAM 登入資料）** – 使用您的成員帳戶管理登入資料登入。

1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。

1. 如果您是初次使用 AWS 或具有獨立 AWS 帳戶，請在**啟用 IAM Identity Center **下，選擇**啟用**。

   您會看到**使用 啟用 IAM Identity Center AWS Organizations** 頁面。我們建議使用此選項，但並非必要。

   選取連結**以啟用 IAM Identity Center 的帳戶執行個體**。

1. 如果您是 AWS Organizations 成員帳戶的管理員，請在**啟用 IAM Identity Center 的帳戶執行個體**下，選取**啟用帳戶執行個體**。

1. 在**啟用 IAM Identity Center 帳戶執行個體**頁面上，檢閱資訊並*選擇性地*新增要與此帳戶執行個體建立關聯的標籤。然後選取**啟用**以完成程序。
**注意**  
如果 AWS 您的帳戶是組織的成員，則您啟用 IAM Identity Center 帳戶執行個體的能力可能會有限制。  
如果您的組織在 2023 年 11 月 15 日之前啟用 IAM Identity Center，成員帳戶建立帳戶執行個體的功能預設為停用，且必須由組織的管理帳戶啟用。
如果您的組織在 2023 年 11 月 15 日之後啟用 IAM Identity Center，則預設會啟用成員帳戶建立帳戶執行個體的功能。不過，服務控制政策可用來防止在組織內建立 IAM Identity Center 的帳戶執行個體。
如需詳細資訊，請參閱[允許在成員帳戶中建立帳戶執行個體](enable-account-instance-console.md)及[使用服務控制政策來控制帳戶執行個體的建立](control-account-instance.md)。

------

# 在 IAM Identity Center 中確認您的身分來源
<a name="confirm-identity-source"></a>

IAM Identity Center 中的身分來源會定義使用者和群組的管理位置。啟用 IAM Identity Center 之後，請確認您使用的是您選擇的身分來源。如果您已有指派的身分來源，您可以繼續使用它。

如果您已經在 Active Directory或外部 IdP 中管理使用者和群組，我們建議您在啟用 IAM Identity Center 並選擇身分來源時，考慮連接此身分來源。這應該在預設 Identity Center 目錄中建立任何使用者和群組並進行任何指派之前完成。

 如果您已在 IAM Identity Center 中管理某個身分來源中的使用者和群組，變更為不同的身分來源可能會移除您在 IAM Identity Center 中設定的所有使用者和群組指派。如果發生這種情況，所有使用者，包括 IAM Identity Center 中的管理使用者，都將失去其 AWS 帳戶 和應用程式的單一登入存取權。如需詳細資訊，請參閱[變更身分來源的考量事項](manage-your-identity-source-considerations.md)。

**確認您的身分來源**

1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。

1. 在**儀表板**頁面**的建議設定步驟**區段下方，選擇**確認您的身分來源**。您也可以選擇**設定**並選擇**身分來源**索引標籤來存取此頁面。

1. 如果您想要保留指派的身分來源，則不會有任何動作。如果您想要變更，請選擇**動作**，然後選擇**變更身分來源**。

您可以選擇下列其中一項做為您的身分來源：

**Identity Center 目錄**  
當您第一次啟用 IAM Identity Center 時，會自動將 Identity Center 目錄設定為您的預設身分來源。如果您尚未使用其他外部身分提供者，您可以開始建立使用者和群組，並將他們的存取層級指派給您的 AWS 帳戶 和應用程式。如需使用此身分來源的教學課程，請參閱 [使用預設 IAM Identity Center 目錄設定使用者存取權](quick-start-default-idc.md)。

**Active Directory**  
如果您已經在使用 Directory Service 或 中的自我管理目錄管理 AWS Managed Microsoft AD 目錄中的使用者和群組Active Directory (AD)，我們建議您在啟用 IAM Identity Center 時連接該目錄。請勿在預設 Identity Center 目錄中建立任何使用者和群組。IAM Identity Center 使用 AWS Directory Service 提供的連線，將 Active Directory 中來源目錄的使用者、群組和成員資格資訊同步到 IAM Identity Center 身分存放區。如需詳細資訊，請參閱[Microsoft AD 目錄](manage-your-identity-source-ad.md)。  
IAM Identity Center 不支援以 SAMBA4-based Simple AD 做為身分來源。

**外部身分提供者**  
對於外部身分提供者 (IdPs)，例如 Okta或 Microsoft Entra ID，您可以使用 IAM Identity Center 透過安全聲明標記語言 (SAML) 2.0 標準來驗證來自 IdPs身分。SAML 通訊協定不提供查詢 IdP 來了解使用者和群組的方法。您可以將這些使用者和群組佈建到 IAM Identity Center，讓 IAM Identity Center 知道這些使用者和群組。如果您的 IdP 支援 SCIM，您可以使用跨網域身分管理 (SCIM) 2.0 版通訊協定，從 IdP 執行使用者和群組資訊自動佈建 （同步） 到 IAM Identity Center。否則，您可以在 IAM Identity Center 中手動輸入使用者名稱、電子郵件地址和群組，以手動佈建使用者和群組。  
如需設定身分來源的詳細說明，請參閱 [IAM Identity Center 身分來源教學課程](tutorials.md)。  
如果您打算使用外部身分提供者，請注意，外部 IdP 而非 IAM Identity Center 會管理多重要素驗證 (MFA) 設定。外部身分提供者不支援使用 IAM Identity Center 中的 MFA。如需詳細資訊，請參閱[MFA 提示使用者](mfa-getting-started.md)。

**注意**  
如果您打算將 IAM Identity Center 複寫到其他區域，則需要設定外部身分提供者。如需包括先決條件的詳細資訊，請參閱 [跨多個 使用 IAM Identity Center AWS 區域](multi-region-iam-identity-center.md)。

# 更新防火牆和閘道以允許存取 AWS 存取入口網站
<a name="enable-identity-center-portal-access"></a>

 AWS 存取入口網站可讓使用者單一登入存取所有您 AWS 帳戶 和最常用的雲端應用程式，例如 Office 365、Concur、Salesforce 等。您只需選擇入口網站中的 AWS 帳戶 或 應用程式圖示，即可快速啟動多個應用程式。

**注意**  
AWS 受管應用程式與 IAM Identity Center 整合，並將其用於身分驗證和目錄服務，但可能不會使用 AWS 存取入口網站進行應用程式存取。

如果您使用新一代防火牆 (NGFW) 或安全 Web Gateway (SWG) 等 Web 內容篩選解決方案來篩選特定 AWS 網域或 URL 端點的存取，則必須允許列出與 AWS 存取入口網站相關聯的網域和 URL 端點。

下列清單提供 IPv4 和雙堆疊網域，以及要新增至 Web 內容篩選解決方案允許清單的 URL 端點。

**IPv4 允許清單**
+ `[Directory ID or alias].awsapps.com`
+ `[Identity Center instance ID].[Region].portal.amazonaws.com`
+ `*.aws.dev`
+ `*.awsstatic.com`
+ `*.console.aws.a2z.com`
+ `oidc.[Region].amazonaws.com`
+ `*.sso.amazonaws.com`
+ `*.sso.[Region].amazonaws.com `
+ `*.sso-portal.[Region].amazonaws.com`
+ `[Region].prod.pr.panorama.console.api.aws/panoramaroute`
+ `[Region].signin.aws`
+ `[Region].signin.aws.amazon.com`
+ `signin.aws.amazon.com`
+ `*.cloudfront.net`
+ `opfcaptcha-prod.s3.amazonaws.com`

**雙堆疊允許清單**
+ `[Identity Center instance ID].portal.[Region].app.aws`
+ `*.aws.dev`
+ `*.awsstatic.com`
+ `*.console.aws.a2z.com`
+ `oidc.[Region].api.aws`
+ `sso.[Region].api.aws`
+ `portal.sso.[Region].api.aws`
+ `[Region].sso.signin.aws`
+ `[Region].signin.aws.amazon.com`
+ `signin.aws.amazon.com`
+ `*.cloudfront.net`
+ `cdn.us-east-1.threat-mitigation.aws.amazon.com`
+ `us-east-1.threat-mitigation.aws.amazon.com`
+ `amcs-captcha-prod-us-east-1.s3.dualstack.us-east-1.amazonaws.com`

**合併允許清單 (IPv4 \$1 具有回溯相容性的雙堆疊）**
+ `[Directory ID or alias].awsapps.com`
+ `[Identity Center instance ID].[Region].portal.amazonaws.com`
+ `[Identity Centers instance ID].portal.[Region].app.aws`
+ `*.aws.dev`
+ `*.awsstatic.com`
+ `*.console.aws.a2z.com`
+ `oidc.[Region].amazonaws.com`
+ `oidc.[Region].api.aws`
+ `*.sso.amazonaws.com`
+ `*.sso.[Region].amazonaws.com`
+ `sso.[Region].api.aws`
+ `*.sso-portal.[Region].amazonaws.com`
+ `portal.sso.[Region].api.aws`
+ `[Region].prod.pr.panorama.console.api.aws/panoramaroute`
+ `[Region].signin.aws`
+ `[Region].sso.signin.aws`
+ `[Region].signin.aws.amazon.com`
+ `signin.aws.amazon.com`
+ `*.cloudfront.net`
+ `opfcaptcha-prod.s3.amazonaws.com`
+ `cdn.us-east-1.threat-mitigation.aws.amazon.com`
+ `us-east-1.threat-mitigation.aws.amazon.com`
+ `amcs-captcha-prod-us-east-1.s3.dualstack.us-east-1.amazonaws.com`

## 允許列出網域和 URL 端點的考量事項
<a name="allowlist-considerations"></a>

除了 AWS 存取入口網站的允許清單要求之外，您使用的其他服務和應用程式可能需要網域的允許清單。
+ 若要從存取入口網站 AWS 存取 AWS 帳戶 AWS 管理主控台、 和 IAM Identity Center 主控台，您必須允許列出其他網域。如需 AWS 管理主控台 網域清單，請參閱*AWS 管理主控台 《 入門指南》*中的[故障診斷](https://docs.aws.amazon.com//awsconsolehelpdocs/latest/gsg/troubleshooting.html)。
+ 若要從 AWS 存取入口網站存取 AWS 受管應用程式，您必須允許列出其各自的網域。如需指引，請參閱個別的服務文件。
+ 如果您使用外部軟體，例如外部 IdPs（例如 Okta和 Microsoft Entra ID)，則需要將其網域包含在允許清單中。