本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 外部身分提供者
使用 IAM Identity Center,您可以透過安全聲明標記語言 (SAML) 2.0 和跨網域身分管理 (SCIM) 通訊協定,從外部身分提供者 (IdPs) 連接現有的人力資源身分。這可讓您的使用者使用其公司登入資料登入 AWS 存取入口網站。然後,他們可以導覽至在外部 IdPs 中託管的指派帳戶、角色和應用程式。
例如,您可以將外部 IdP 例如 Okta或 Microsoft Entra ID連接到 IAM Identity Center。然後,您的使用者可以使用現有的 Okta或 Microsoft Entra ID登入資料登入 AWS 存取入口網站。若要控制使用者登入後可以執行的動作,您可以將存取許可集中指派給 AWS 組織中所有帳戶和應用程式。此外,開發人員可以使用現有的登入資料登入 AWS Command Line Interface (AWS CLI),並受益於自動產生短期登入資料和輪換。
如果您在 Active Directory 或 中使用自我管理目錄 AWS Managed Microsoft AD,請參閱 [Microsoft AD 目錄](manage-your-identity-source-ad.md)。
**注意**
SAML 通訊協定不提供查詢 IdP 以了解使用者和群組的方式。因此,您必須將使用者和群組佈建到 IAM Identity Center,讓 IAM Identity Center 知道這些使用者和群組。
## 使用者來自外部 IdP 時的佈建
使用外部 IdP 時,您必須先將所有適用的使用者和群組佈建至 IAM Identity Center,才能對 AWS 帳戶 或 應用程式進行任何指派。若要這樣做,您可以[使用 SCIM 從外部身分提供者佈建使用者和群組](provision-automatically.md)為使用者和群組設定 ,或使用 [手動佈建](provision-automatically.md#provision-manually)。無論您如何佈建使用者,IAM Identity Center 都會將 AWS 管理主控台、命令列界面和應用程式身分驗證重新導向至外部 IdP。然後,IAM Identity Center 會根據您在 IAM Identity Center 中建立的政策授予這些資源的存取權。如需佈建的詳細資訊,請參閱 [使用者和群組佈建](users-groups-provisioning.md#user-group-provision)。
**Topics**
+ [使用者來自外部 IdP 時的佈建](#provisioning-when-external-idp)
+ [如何連線至外部身分提供者](how-to-connect-idp.md)
+ [如何在 IAM Identity Center 中變更外部身分提供者的中繼資料](how-to-change-idp-metadata.md)
+ [搭配外部身分提供者使用 SAML 和 SCIM 聯合身分](other-idps.md)
+ [SCIM 設定檔和 SAML 2.0 實作](scim-profile-saml.md)
# 如何連線至外部身分提供者
支援的外部 IdPs 有不同的先決條件、考量事項和佈建程序。有幾個 step-by-step教學課程: IdPs
+ [CyberArk](cyberark-idp.md)
+ [Google Workspace](gs-gwp.md)
+ [JumpCloud](jumpcloud-idp.md)
+ [Microsoft Entra ID](idp-microsoft-entra.md)
+ [Okta](gs-okta.md)
+ [OneLogin](onelogin-idp.md)
+ [Ping 身分](pingidentity.md)
如需 IAM Identity Center 支援的外部 IdPs 考量事項的詳細資訊,請參閱 [搭配外部身分提供者使用 SAML 和 SCIM 聯合身分](other-idps.md)。
下列程序提供與所有外部身分提供者搭配使用的程序的一般概觀。
**連線至外部身分提供者**
1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。
1. 選擇**設定**。
1. 在**設定**頁面上,選擇**身分來源**索引標籤,然後選擇**動作 > 變更身分來源**。
1. 在**選擇身分來源**下,選取**外部身分提供者**,然後選擇**下一步**。
1. 在**設定外部身分提供者**下,執行下列動作:
1. 在**服務提供者中繼資料**下,選擇**下載中繼資料檔案**以下載中繼資料檔案,並將其儲存在系統中。外部身分提供者需要 IAM Identity Center SAML 中繼資料檔案。
**注意**
您下載的 SAML 中繼資料檔案包含IPv4-only和雙堆疊聲明消費者服務 (ACS) URLs。此外,如果您的 IAM Identity Center 複寫到其他區域,中繼資料檔案會包含每個其他區域的 ACS URLs。如果您的外部 IdP 限制了 ACS URLs 的數量,您將需要移除不必要的 ACS URLs。例如,如果您的組織已完全採用雙堆疊端點,且不再使用IP4v-only 的端點,您可以移除後者。另一種方法是不使用中繼資料檔案,而是將 ACS URLs 複製並貼到外部 IdP 中。
1. 在**身分提供者中繼資料**下,選擇**選擇檔案**,然後找到您從外部身分提供者下載的中繼資料檔案。然後上傳檔案。此中繼資料檔案包含必要的公有 x509 憑證,用於信任從 IdP 傳送的訊息。
1. 選擇**下一步**。
**重要**
在 Active Directory 之間變更來源會移除所有現有的使用者和群組指派。成功變更來源後,您必須手動重新套用指派。
1. 在您閱讀免責聲明並準備好繼續之後,請輸入 **ACCEPT**。
1. 選擇**變更身分來源**。狀態訊息會通知您已成功變更身分來源。
# 如何在 IAM Identity Center 中變更外部身分提供者的中繼資料
您可以變更先前提供給 IAM Identity Center 的外部身分提供者中繼資料。這些變更會影響使用者透過 IAM Identity Center 登入和存取 AWS 資源的能力。下列程序說明如何更新存放在 IAM Identity Center 中的外部 IdP 中繼資料。若要完成此程序,您需要 IAM Identity Center 的組織執行個體。如需詳細資訊,請參閱[IAM Identity Center 的組織和帳戶執行個體](identity-center-instances.md)。
**變更外部身分提供者的中繼資料**
1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。
1. 選擇**設定**。
1. 在**設定**頁面上,選擇**身分來源**索引標籤。選擇**動作**,然後選擇**管理身分驗證**。
1. 在**身分提供者中繼資料**區段中,選擇**編輯 IdP 中繼資料**。您可以在此頁面上變更外部 IdP 的 IdP 登入 URL 和 或 IdP 發行者 URL。當您進行所有必要**的變更時,請選擇儲存**變更。
# 搭配外部身分提供者使用 SAML 和 SCIM 聯合身分
IAM Identity Center 針對聯合身分實作下列標準型通訊協定:
+ 用於使用者身分驗證的 SAML 2.0
+ 用於佈建的 SCIM
實作這些標準通訊協定的任何身分提供者 (IdP) 預期會與 IAM Identity Center 成功互通,但有下列特殊考量:
+ **SAML**
+ IAM Identity Center 需要電子郵件地址的 SAML nameID 格式 (即 `urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress`)。
+ 宣告中 nameID 欄位的值必須是 RFC 2822 ([https://tools.ietf.org/html/rfc2822](https://tools.ietf.org/html/rfc2822)) addr-spec 合規 (“`name@domain.com`”) 字串 ([https://tools.ietf.org/html/rfc2822\$1section-3.4.1](https://tools.ietf.org/html/rfc2822#section-3.4.1))。
+ 中繼資料檔案不能超過 75000 個字元。
+ 中繼資料必須包含 entityId、X509 憑證和 SingleSignOnService,做為登入 URL 的一部分。
+ 不支援加密金鑰。
+ IAM Identity Center 不支援簽署傳送至外部 IdPs SAML 身分驗證請求。
+ 如果您打算將 IAM Identity Center 複寫到其他區域,IdP 必須支援多個聲明消費者服務 (ACS) URLs,並充分利用多區域 IAM Identity Center 的優勢。如需詳細資訊,請參閱[跨多個 使用 IAM Identity Center AWS 區域](multi-region-iam-identity-center.md)。使用單一 ACS URL 可能會影響其他區域中的使用者體驗。您的主要區域會繼續正常運作。如需使用單一 ACS URL 在其他區域中使用者體驗的詳細資訊,請參閱 [使用沒有多個 ACS URLs AWS 受管應用程式](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls)和 [AWS 帳戶 在沒有多個 ACS URLs存取彈性](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url)。
+ **SCIM**
+ IAM Identity Center SCIM 實作是以 SCIM RFCs7642 ([https://tools.ietf.org/html/rfc7642](https://tools.ietf.org/html/rfc7642))、7643 ([https://tools.ietf.org/html/rfc7643](https://tools.ietf.org/html/rfc7643)) 和 7644 ([https://tools.ietf.org/html/rfc7644](https://tools.ietf.org/html/rfc7644)) 為基礎,以及 FastFed Basic SCIM Profile 1.0 ([https://openid.net/specs/fastfed-scim-1\$10-02.html\$1rfc.section.4](https://openid.net/specs/fastfed-scim-1_0-02.html#rfc.section.4)) 的 2020 年 3 月草案中概述的互通性要求。IAM Identity Center SCIM 實作開發人員指南的[支援 API 操作](https://docs.aws.amazon.com/singlesignon/latest/developerguide/supported-apis.html)一節說明這些文件與 IAM Identity Center 中目前實作之間的差異。 **
不支援不符合上述標準和考量事項的 IdPs。如需有關其產品是否符合這些標準和考量事項的問題或釐清,請聯絡您的 IdP。
如果您在將 IdP 連線至 IAM Identity Center 時遇到任何問題,建議您檢查:
+ AWS CloudTrail 透過篩選事件名稱 **ExternalIdPDirectoryLogin** 的 日誌
+ IdP 特定的日誌和/或偵錯日誌
+ [對 IAM Identity Center 問題進行故障診斷](troubleshooting.md)
**注意**
有些 IdPs,例如 中的 IdP[IAM Identity Center 身分來源教學課程](tutorials.md),以專為 IAM Identity Center 建置的「應用程式」或「連接器」形式,為 IAM Identity Center 提供簡化的組態體驗。如果您的 IdP 提供此選項,我們建議您使用它,請小心選擇專為 IAM Identity Center 建置的項目。其他稱為「AWS」、「AWS 聯合」或類似一般「AWS」名稱的項目可能會使用其他聯合方法和/或端點,並且可能無法如預期與 IAM Identity Center 搭配使用。
# SCIM 設定檔和 SAML 2.0 實作
SCIM 和 SAML 都是設定 IAM Identity Center 的重要考量事項。
## SAML 2.0 實作
IAM Identity Center 支援 [SAML (安全性聲明標記語言)](https://wiki.oasis-open.org/security) 2.0 的聯合身分。這可讓 IAM Identity Center 從外部身分提供者 (IdPs) 驗證身分。SAML 2.0 是一項開放標準,用於安全地交換 SAML 聲明。SAML 2.0 會在 SAML 授權單位 (稱為身分提供者或 IdP) 與 SAML 消費者 (稱為服務提供者或 SP) 之間傳遞使用者的相關資訊。IAM Identity Center 服務會使用此資訊來提供聯合單一登入。單一登入可讓使用者根據現有的身分提供者憑證來存取 AWS 帳戶 和設定應用程式。
IAM Identity Center 會將 SAML IdP 功能新增至您的 IAM Identity Center 存放區 AWS Managed Microsoft AD或外部身分提供者。然後,使用者可以單一登入支援 SAML 的服務,包括 AWS 管理主控台 和第三方應用程式Concur,例如 Microsoft 365、 和 Salesforce。
不過,SAML 通訊協定不提供查詢 IdP 以了解使用者和群組的方式。因此,您必須將使用者和群組佈建到 IAM Identity Center,讓 IAM Identity Center 知道這些使用者和群組。
## SCIM 設定檔
IAM Identity Center 支援跨網域身分管理 (SCIM) 2.0 版標準。SCIM 讓您的 IAM Identity Center 身分與 IdP 中的身分保持同步。這包括在您的 IdP 與 IAM Identity Center 之間佈建、更新和取消佈建使用者。
如需如何實作 SCIM 的詳細資訊,請參閱 [使用 SCIM 從外部身分提供者佈建使用者和群組](provision-automatically.md)。如需 IAM Identity Center SCIM 實作的其他詳細資訊,請參閱 [IAM Identity Center SCIM 實作開發人員指南](https://docs.aws.amazon.com/singlesignon/latest/developerguide/what-is-scim.html)。
**Topics**
+ [SAML 2.0 實作](#samlfederationconcept)
+ [SCIM 設定檔](#scim-profile)
+ [使用 SCIM 從外部身分提供者佈建使用者和群組](provision-automatically.md)
+ [輪換 SAML 2.0 憑證](managesamlcerts.md)
# 使用 SCIM 從外部身分提供者佈建使用者和群組
IAM Identity Center 支援使用跨網域身分管理 (SCIM) 2.0 版通訊協定,將身分提供者 (IdP) 的使用者和群組資訊自動佈建 (同步) 至 IAM Identity Center。當您設定 SCIM 同步時,您可以建立身分提供者 (IdP) 使用者屬性與 IAM Identity Center 中具名屬性的映射。這會導致 IAM Identity Center 和 IdP 之間的預期屬性相符。您可以使用 IAM Identity Center 的 SCIM 端點和您在 IAM Identity Center 中建立的承載字符,在 IdP 中設定此連線。
**Topics**
+ [使用自動佈建的考量事項](#auto-provisioning-considerations)
+ [如何監控存取權杖過期](#access-token-expiry)
+ [產生存取權杖](generate-token.md)
+ [啟用自動佈建](how-to-with-scim.md)
+ [刪除存取權杖](delete-token.md)
+ [停用自動佈建](disable-provisioning.md)
+ [輪換存取字符](rotate-token.md)
+ [稽核和協調自動佈建的資源](reconcile-auto-provisioning.md)
+ [手動佈建](#provision-manually)
## 使用自動佈建的考量事項
開始部署 SCIM 之前,建議您先檢閱下列有關其如何與 IAM Identity Center 搭配使用的重要考量。如需其他佈建考量,請參閱[IAM Identity Center 身分來源教學課程](tutorials.md)適用於 IdP 的 。
+ 如果您要佈建主要電子郵件地址,則每個使用者的此屬性值必須是唯一的。在某些 IdPs中,主要電子郵件地址可能不是真正的電子郵件地址。例如,它可能是僅看起來像電子郵件的通用主體名稱 (UPN)。這些 IdPs可能有次要或「其他」電子郵件地址,其中包含使用者的真實電子郵件地址。您必須在 IdP 中設定 SCIM,將非空的唯一電子郵件地址對應至 IAM Identity Center 主要電子郵件地址屬性。而且,您必須將使用者非空的唯一登入識別符映射至 IAM Identity Center 使用者名稱屬性。檢查您的 IdP 是否有單一值同時是登入識別符和使用者的電子郵件名稱。如果是這樣,您可以將該 IdP 欄位映射到 IAM Identity Center 主要電子郵件和 IAM Identity Center 使用者名稱。
+ 若要讓 SCIM 同步運作,每個使用者都必須指定**名字**、**姓氏**、**使用者名稱**和**顯示名稱**值。如果使用者遺失任何這些值,將不會佈建該使用者。
+ 如果您需要使用第三方應用程式,您必須先將傳出 SAML 主體屬性映射至使用者名稱屬性。如果第三方應用程式需要可路由的電子郵件地址,您必須將電子郵件屬性提供給 IdP。
+ SCIM 佈建和更新間隔由您的身分提供者控制。只有在您的身分提供者將變更傳送至 IAM Identity Center 之後,您的身分提供者的使用者和群組變更才會反映在 IAM Identity Center 中。如需使用者和群組更新頻率的詳細資訊,請洽詢您的身分提供者。
+ 目前,不會使用 SCIM 佈建多值屬性 (例如指定使用者的多個電子郵件或電話號碼)。嘗試將多值屬性與 SCIM 同步至 IAM Identity Center 將會失敗。為了避免失敗,請確保每個屬性只傳遞一個值。如果您有具有多值屬性的使用者,請在 IdP 移除或修改 SCIM 中重複的屬性映射,以連線至 IAM Identity Center。
+ 確認 IdP 的 `externalId` SCIM 映射對應至使用者唯一、永遠存在且最不可能變更的值。例如,您的 IdP 可能會提供保證`objectId`或其他識別符,不受名稱和電子郵件等使用者屬性的變更影響。如果是這樣,您可以將該值映射到 SCIM `externalId` 欄位。如果您需要變更使用者的名稱或電子郵件,這可確保您的使用者不會遺失 AWS 權利、指派或許可。
+ 尚未指派給應用程式或 AWS 帳戶 無法佈建至 IAM Identity Center 的使用者。若要同步使用者和群組,請確定他們已指派給應用程式或其他代表 IdP 與 IAM Identity Center 連線的設定。
+ 使用者取消佈建行為由身分提供者管理,並可能因其實作而有所不同。如需取消佈建使用者的詳細資訊,請洽詢您的身分提供者。
+ 使用 IdP 的 SCIM 設定自動佈建之後,您無法再在 IAM Identity Center 主控台中新增或編輯使用者。如果您需要新增或修改使用者,您必須從外部 IdP 或身分來源執行此操作。
如需 IAM Identity Center SCIM 實作的詳細資訊,請參閱 [IAM Identity Center SCIM 實作開發人員指南](https://docs.aws.amazon.com/singlesignon/latest/developerguide/what-is-scim.html)。
## 如何監控存取權杖過期
SCIM 存取字符的產生有效期為一年。當您的 SCIM 存取權杖設定為在 90 天內過期時, 會在 IAM Identity Center 主控台和儀表板中 AWS 傳送提醒 AWS Health ,以協助您輪換權杖。透過在過期之前輪換 SCIM 存取權杖,您可以持續保護使用者和群組資訊的自動佈建。如果 SCIM 存取權杖過期,使用者和群組資訊從您的身分提供者同步到 IAM Identity Center 會停止,因此自動佈建無法再進行更新或建立和刪除資訊。中斷自動佈建可能會增加安全風險,並影響對您服務的存取。
Identity Center 主控台提醒會持續存在,直到您輪換 SCIM 存取權杖並刪除任何未使用的或過期的存取權杖為止。 AWS Health 儀表板事件每週續約 90 到 60 天、每週兩次從 60 到 30 天、每週三次從 30 到 15 天,以及每天 15 天,直到 SCIM 存取字符過期為止。
# 產生存取權杖
使用下列程序在 IAM Identity Center 主控台中產生新的存取權杖。
**注意**
此程序需要您先前已啟用自動佈建。如需詳細資訊,請參閱[啟用自動佈建](how-to-with-scim.md)。
**產生新的存取權杖**
1. 在 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)中,選擇左側導覽窗格中**的設定**。
1. 在**設定**頁面上,選擇**身分來源**索引標籤,然後選擇**動作 > 管理佈建**。
1. 在**自動佈建**頁面的**存取字符**下,選擇**產生字符**。
1. 在**產生新的存取權杖**對話方塊中,複製新的存取權杖並將其儲存在安全的地方。
1. 選擇**關閉**。
# 啟用自動佈建
使用下列程序,使用 SCIM 通訊協定,將使用者和群組從 IdP 自動佈建至 IAM Identity Center。
**注意**
在開始此程序之前,建議您先檢閱適用於 IdP 的佈建考量。如需詳細資訊,請參閱 IdP [IAM Identity Center 身分來源教學課程](tutorials.md)的 。
**在 IAM Identity Center 中啟用自動佈建**
1. 完成先決條件後,請開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。
1. 在左側導覽窗格中選擇**設定**。
1. 在**設定**頁面上,找到**自動佈建**資訊方塊,然後選擇**啟用**。這會立即在 IAM Identity Center 中啟用自動佈建,並顯示必要的 SCIM 端點和存取字符資訊。
1. 在**傳入自動佈建**對話方塊中,複製 SCIM 端點和存取字符。稍後在 IdP 中設定佈建時,您需要將這些項目貼入 。
1. **SCIM 端點** - 例如,https://scim.*us-east-2*.amazonaws.com/*1111111111-2222-3333-4444-555555555*/scim/v2
1. **存取字符** - 選擇**顯示字符**以複製值。
**警告**
這是您唯一可以取得 SCIM 端點和存取權杖的時間。在繼續之前,請務必複製這些值。您將在本教學稍後輸入這些值,以設定 IdP 中的自動佈建。
1. 選擇**關閉**。
完成此程序後,您必須在 IdP 中設定自動佈建。如需詳細資訊,請參閱 IdP [IAM Identity Center 身分來源教學課程](tutorials.md)的 。
# 刪除存取權杖
使用下列程序刪除 IAM Identity Center 主控台中的現有存取權杖。
**若要刪除現有的存取權杖**
1. 在 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)中,選擇左側導覽窗格中**的設定**。
1. 在**設定**頁面上,選擇**身分來源**索引標籤,然後選擇**動作 > 管理佈建**。
1. 在**自動佈建**頁面的**存取字符**下,選取您要刪除的存取字符,然後選擇**刪除**。
1. 在**刪除存取權杖**對話方塊中,檢閱資訊,輸入 **DELETE**,然後選擇**刪除存取權杖**。
# 停用自動佈建
使用下列程序在 IAM Identity Center 主控台中停用自動佈建。
**重要**
您必須先刪除存取權杖,才能開始此程序。如需詳細資訊,請參閱[刪除存取權杖](delete-token.md)。
**在 IAM Identity Center 主控台中停用自動佈建**
1. 在 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)中,選擇左側導覽窗格中**的設定**。
1. 在**設定**頁面上,選擇**身分來源**索引標籤,然後選擇**動作 > 管理佈建**。
1. 在**自動佈建**頁面上,選擇**停用**。
1. 在**停用自動佈建**對話方塊中,檢閱資訊,輸入 **DISABLE**,然後選擇**停用自動佈建**。
# 輪換存取字符
IAM Identity Center 目錄一次最多支援兩個存取字符。若要在任何輪換之前產生額外的存取權杖,請刪除任何過期或未使用的存取權杖。
如果您的 SCIM 存取權杖即將過期,您可以使用下列程序在 IAM Identity Center 主控台中輪換現有的存取權杖。
**輪換存取字符**
1. 在 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)中,選擇左側導覽窗格中**的設定**。
1. 在**設定**頁面上,選擇**身分來源**索引標籤,然後選擇**動作 > 管理佈建**。
1. 在**自動佈建**頁面的**存取字符**下,記下您要輪換的字符的字符 ID。
1. 請依照 中的步驟[產生存取權杖](generate-token.md)建立新的權杖。如果您已建立最大數量的 SCIM 存取權杖,您必須先刪除其中一個現有的權杖。
1. 前往您的身分提供者的網站,設定新的存取字符以進行 SCIM 佈建,然後使用新的 SCIM 存取字符測試與 IAM Identity Center 的連線。確認佈建使用新的字符成功運作後,請繼續此程序的下一個步驟。
1. 請依照 中的步驟[刪除存取權杖](delete-token.md),刪除您先前記下的舊存取字符。您也可以使用字符的建立日期作為要移除字符的提示。
# 稽核和協調自動佈建的資源
SCIM 可讓您自動將使用者、群組和群組成員資格從身分來源佈建至 IAM Identity Center。本指南可協助您驗證和協調這些資源,以維持準確的同步。
## 為什麼要稽核您的資源?
定期稽核有助於確保您的存取控制保持準確,且您的身分提供者 (IdP) 與 IAM Identity Center 保持適當同步。這對安全合規和存取管理尤其重要。
您可以稽核的資源:
+ 使用者
+ Groups (群組)
+ 群組成員資格
您可以使用 AWS Identity Store [APIs](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/welcome.html)或 [CLI 命令](https://docs.aws.amazon.com/cli/latest/reference/identitystore/)來執行稽核和調校。下列範例使用 AWS CLI 命令。如需 API 替代方案,請參閱 * Identity Store API 參考*中的[對應操作](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_Operations.html)。
## 如何稽核資源
以下是如何使用 AWS CLI 命令稽核這些資源的範例。
開始前,請確保您具備以下條件:
+ IAM Identity Center 的管理員存取權。
+ AWS CLI 已安裝並設定。如需詳細資訊,請參閱 [https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html)。
+ Identity Store 命令所需的 IAM 許可。
### 步驟 1:列出目前的資源
您可以使用 檢視目前的 資源 AWS CLI。
**注意**
使用 時 AWS CLI,除非您指定 ,否則系統會自動處理分頁`--no-paginate`。如果您直接呼叫 API (例如,使用 SDK 或自訂指令碼),請在回應`NextToken`中處理 。這可確保您擷取跨多個頁面的所有結果。
**Example 適用於 使用者**
```
aws identitystore list-users \
--region REGION \
--identity-store-id IDENTITY_STORE_ID
```
**Example 適用於 群組的**
```
aws identitystore list-groups \
--region REGION \
--identity-store-id IDENTITY_STORE_ID
```
**Example 群組成員資格**
```
aws identitystore list-group-memberships \
--region REGION \
--identity-store-id IDENTITY_STORE_ID
--group-id GROUP_ID
```
### 步驟 2:與您的身分來源比較
將列出的資源與您的身分來源進行比較,以識別任何差異,例如:
+ IAM Identity Center 中應佈建的遺失資源。
+ 應從 IAM Identity Center 移除的額外資源。
**Example 適用於 使用者**
```
# Create missing users
aws identitystore create-user \
--identity-store-id IDENTITY_STORE_ID \
--user-name USERNAME \
--display-name DISPLAY_NAME \
--name GivenName=FIRST_NAME,FamilyName=LAST_NAME \
--emails Value=EMAIL,Primary=true
# Delete extra users
aws identitystore delete-user \
--identity-store-id IDENTITY_STORE_ID \
--user-id USER_ID
```
**Example 適用於 群組的**
```
# Create missing groups
aws identitystore create-group \
--identity-store-id IDENTITY_STORE_ID \
[group attributes]
# Delete extra groups
aws identitystore delete-group \
--identity-store-id IDENTITY_STORE_ID \
--group-id GROUP_ID
```
**Example 群組成員資格**
```
# Add missing members
aws identitystore create-group-membership \
--identity-store-id IDENTITY_STORE_ID \
--group-id GROUP_ID \
--member-id '{"UserId": "USER_ID"}'
# Remove extra members
aws identitystore delete-group-membership \
--identity-store-id IDENTITY_STORE_ID \
--membership-id MEMBERSHIP_ID
```
## 考量事項
+ 命令受限於[服務配額和 API 限流](limits.md#ssothrottlelimits)。
+ 當您在對帳期間發現許多差異時,請對 AWS Identity Store 進行小型、漸進的變更。這可協助您避免影響多個使用者的錯誤。
+ SCIM 同步可以覆寫您的手動變更。檢查您的 IdP 設定以了解此行為。
## 手動佈建
有些 IdPs 沒有跨網域身分管理 (SCIM) 支援系統,或具有不相容的 SCIM 實作。在這些情況下,您可以透過 IAM Identity Center 主控台手動佈建使用者。當您將使用者新增至 IAM Identity Center 時,請確定您將使用者名稱設定為與 IdP 中的使用者名稱相同。您至少必須擁有唯一的電子郵件地址和使用者名稱。如需詳細資訊,請參閱[使用者名稱和電子郵件地址唯一性](users-groups-provisioning.md#username-email-unique)。
您還必須在 IAM Identity Center 中手動管理所有群組。若要這樣做,您可以使用 IAM Identity Center 主控台建立群組並新增群組。這些群組不需要符合 IdP 中存在的內容。如需詳細資訊,請參閱[Groups (群組)](users-groups-provisioning.md#groups-concept)。
# 輪換 SAML 2.0 憑證
IAM Identity Center 使用憑證來設定 IAM Identity Center 與您的外部身分提供者 (IdP) 之間的 SAML 信任關係。在 IAM Identity Center 中新增外部 IdP 時,您還必須從外部 IdP 取得至少一個公有 SAML 2.0 X.509 憑證。該憑證通常在信任建立期間的 IdP SAML 中繼資料交換期間自動安裝。
身為 IAM Identity Center 管理員,您偶爾需要用較新的 IdP 憑證取代較舊的 IdP 憑證。例如,當憑證上的過期日期接近時,您可能需要取代 IdP 憑證。使用較新的憑證取代較舊憑證的程序稱為憑證輪換。
**Topics**
+ [輪換 SAML 2.0 憑證](rotatesamlcert.md)
+ [憑證過期狀態指示燈](samlcertexpirationindicators.md)
# 輪換 SAML 2.0 憑證
您可能需要定期匯入憑證,才能輪換身分提供者發行的無效或過期憑證。這有助於防止身分驗證中斷或停機。所有匯入的憑證都會自動啟用。只有在確保憑證不再與相關聯的身分提供者搭配使用之後,才應該刪除憑證。
您也應該考慮某些 IdPs可能不支援多個憑證。在這種情況下,使用這些 IdPs 輪換憑證的行為可能意味著使用者暫時的服務中斷。成功重新建立與該 IdP 的信任時,會還原服務。如果可能,請在尖峰時段仔細規劃此操作。
**注意**
作為安全最佳實務,在現有 SAML 憑證發生任何入侵或處理不當的跡象時,您應該立即移除並輪換憑證。
輪換 IAM Identity Center 憑證是一個包含下列項目的多步驟程序:
+ 從 IdP 取得新憑證
+ 將新憑證匯入 IAM Identity Center
+ 在 IdP 中啟用新憑證
+ 刪除較舊的憑證
使用下列所有程序來完成憑證輪換程序,同時避免任何身分驗證停機時間。
**步驟 1:從 IdP 取得新憑證**
前往 IdP 網站並下載其 SAML 2.0 憑證。請確定已下載 PEM 編碼格式的憑證檔案。大多數提供者允許您在 IdP 中建立多個 SAML 2.0 憑證。這些項目可能會標示為已停用或非作用中。
**步驟 2:將新憑證匯入 IAM Identity Center**
使用下列程序,使用 IAM Identity Center 主控台匯入新憑證。
1. 在 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)中,選擇**設定**。
1. 在**設定**頁面上,選擇**身分來源**索引標籤,然後選擇**動作 > 管理身分驗證**。
1. 在**管理 SAML 2.0 憑證**頁面上,選擇**匯入憑證**。
1. 在**匯入 SAML 2.0 憑證**對話方塊中,選擇**選擇檔案**,導覽至您的憑證檔案並加以選取,然後選擇**匯入憑證**。
此時,IAM Identity Center 會信任從您匯入的兩個憑證簽署的所有傳入 SAML 訊息。
**步驟 3:在 IdP 中啟用新憑證**
返回 IdP 網站,並將您先前建立的新憑證標記為主要憑證或作用中憑證。此時,IdP 簽署的所有 SAML 訊息都應使用新的憑證。
**步驟 4:刪除舊憑證**
使用下列程序來完成 IdP 的憑證輪換程序。至少必須列出一個有效的憑證,而且無法移除。
**注意**
刪除之前,請確定您的身分提供者不再使用此憑證簽署 SAML 回應。
1. 在**管理 SAML 2.0 憑證**頁面上,選擇您要刪除的憑證。選擇 **刪除**。
1. 在**刪除 SAML 2.0 憑證**對話方塊中,輸入 **DELETE** 進行確認,然後選擇**刪除**。
1. 返回 IdP 的網站並執行必要的步驟,以移除較舊的非作用中憑證。
# 憑證過期狀態指示燈
**管理 SAML 2.0 憑證**頁面會在清單中每個憑證旁的**過期資料**欄中顯示彩色狀態指示燈圖示。以下說明 IAM Identity Center 用來判斷每個憑證顯示哪個圖示的條件。
+ **紅色** – 表示憑證已過期。
+ **黃色** – 表示憑證會在 90 天內過期。
+ **綠色** – 表示憑證有效,且至少再維持有效 90 天。
**檢查憑證的目前狀態**
1. 在 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)中,選擇**設定**。
1. 在**設定**頁面上,選擇**身分來源**索引標籤,然後選擇**動作 > 管理身分驗證**。
1. 在**管理 SAML 2.0 身分驗證**頁面的**管理 SAML 2.0 憑證**下,檢閱清單中憑證的狀態,如 **過期**資料欄所示。