本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 管理您的身分來源
<a name="manage-your-identity-source"></a>

IAM Identity Center 中的身分來源會定義使用者和群組的管理位置。設定身分來源後，您可以查詢使用者或群組，以授予使用者 AWS 帳戶、應用程式或兩者的單一登入存取權。

每個組織只能有一個身分來源 AWS Organizations。您可以選擇下列其中一項做為您的身分來源：


+ **[外部身分提供者](manage-your-identity-source-idp.md) –** 如果您想要管理外部身分提供者 (IdP) 中的使用者，例如 Okta或 ，請選擇此選項Microsoft Entra ID。
+ **[您的內部部署或 AWS 受管 Active Directory](manage-your-identity-source-ad.md) –** 如果您想要連接 ，請選擇此選項Active Directory (AD)。
+ **[Identity Center 目錄](manage-your-identity-source-sso.md) –** 當您第一次啟用 IAM Identity Center 時，除非您選擇不同的身分來源，否則它會自動設定為 Identity Center 目錄做為您的預設身分來源。使用 Identity Center 目錄，您可以建立使用者和群組，並將他們的存取層級指派給您的 AWS 帳戶 和應用程式。

**注意**  
IAM Identity Center 不支援以 SAMBA4-based Simple AD 做為身分來源。

**Topics**
+ [變更身分來源的考量事項](manage-your-identity-source-considerations.md)
+ [變更您的身分來源](manage-your-identity-source-change.md)
+ [IAM Identity Center 中支援的使用者和群組屬性](manage-your-identity-source-attribute-use.md)
+ [外部身分提供者](manage-your-identity-source-idp.md)
+ [Microsoft AD 目錄](manage-your-identity-source-ad.md)

# 變更身分來源的考量事項
<a name="manage-your-identity-source-considerations"></a>

雖然您可以隨時變更身分來源，但我們建議您考慮此變更如何影響您目前的部署。

如果您已經在一個身分來源中管理使用者和群組，變更為不同的身分來源可能會移除您在 IAM Identity Center 中設定的所有使用者和群組指派。如果發生這種情況，所有使用者，包括 IAM Identity Center 中的管理使用者，都將失去對其 AWS 帳戶 和應用程式的單一登入存取權。

變更 IAM Identity Center 的身分來源之前，請先檢閱下列考量，再繼續。如果您想要繼續變更身分來源，請參閱 [變更您的身分來源](manage-your-identity-source-change.md) 以取得詳細資訊。

## 在 IAM Identity Center 目錄和 Active Directory 之間變更
<a name="changing-between-sso-and-active-directory"></a>

如果您已在 Active Directory 中管理使用者和群組，我們建議您在啟用 IAM Identity Center 並選擇身分來源時，考慮連接目錄。在預設 Identity Center 目錄中建立任何使用者和群組並進行任何指派之前，請先執行此操作。

**重要**  
將 IAM Identity Center 中的身分來源類型變更為 Active Directory 或從 Active Directory 變更時，請注意 Identity Store ID 會變更。這可能會有下列影響：  
您的預設 AWS 存取入口網站 URL 將會變更。您需要將新的 URL 傳達給人力資源，並更新書籤、Gatewall 或防火牆允許清單，以及參考此 URL 的組態。我們建議您在排定的維護時段執行此變更，以將對使用者的干擾降至最低。
如果您在 IAM Identity Center 中使用客戶受管 KMS 金鑰進行靜態加密，並且已使用加密內容設定 KMS 金鑰政策，請注意 Identity Store 的加密內容將會變更。例如，在 Identity Store ARN "arn：aws：identitystore：：123456789012：identitystore/d-922763e9b3" 中，"d-922763e9b3" 是 Identity Store ID。為避免在此轉換期間發生服務中斷，請暫時修改 KMS 金鑰政策以使用萬用字元模式："arn：aws：identitystore：：123456789012：identitystore/\$1"。

如果您已在預設 Identity Center 目錄中管理使用者和群組，請考慮下列事項：
+ 已**移除的指派和已刪除的使用者和群組** – 將您的身分來源變更為 Active Directory 會從 Identity Center 目錄中刪除您的使用者和群組。此變更也會移除您的指派。在此情況下，在變更為 Active Directory 之後，您必須將使用者和群組從 Active Directory 同步到 Identity Center 目錄，然後重新套用其指派。

  如果您選擇不使用 Active Directory，則必須在 Identity Center 目錄中建立使用者和群組，然後進行指派。
+ **刪除身分時不會刪除指派** – 在 Identity Center 目錄中刪除身分時，IAM Identity Center 中也會刪除對應的指派。不過，在 Active Directory 中，刪除身分時 （在 Active Directory 中或同步身分中），不會刪除對應的指派。
+ **APIs 沒有傳出同步** – 如果您使用 Active Directory 做為身分來源，建議您謹慎使用[建立、更新和刪除](https://docs.aws.amazon.com/singlesignon/latest/APIReference/API_Operations.html) APIs。IAM Identity Center 不支援傳出同步，因此您的身分來源不會自動更新您使用這些 APIs 對使用者或群組所做的變更。
+ **存取入口網站 URL 將會變更** – 在 IAM Identity Center 和 Active Directory 之間變更您的身分來源也會變更 AWS 存取入口網站的 URL。
+ 如果在 IAM Identity Center 主控台中使用 Identity Store APIs刪除或停用使用者，具有作用中工作階段的使用者可以繼續存取整合的應用程式和帳戶。如需身分驗證工作階段持續時間和使用者行為的資訊，請參閱 [了解 IAM Identity Center 中的身分驗證工作階段](authconcept.md)。

如需 IAM Identity Center 如何佈建使用者和群組的資訊，請參閱 [Microsoft AD 目錄](manage-your-identity-source-ad.md)。

## 從 IAM Identity Center 變更為外部 IdP
<a name="changing-from-idc-and-idp"></a>

如果您將身分來源從 IAM Identity Center 變更為外部身分提供者 (IdP)，請考慮下列事項：
+ **指派和成員資格使用正確的聲明** – 只要新的 IdP 傳送正確的聲明 （例如 SAML nameIDs)，您的使用者指派、群組指派和群組成員資格就會繼續運作。這些聲明必須符合 IAM Identity Center 中的使用者名稱和群組。
+ **無傳出同步** – IAM Identity Center 不支援傳出同步，因此您的外部 IdP 不會自動更新您在 IAM Identity Center 中對使用者和群組所做的變更。
+ **SCIM 佈建** – 如果您使用 SCIM 佈建，身分提供者中的使用者和群組變更只會在身分提供者將這些變更傳送至 IAM Identity Center 之後，才反映在 IAM Identity Center 中。請參閱 [使用自動佈建的考量事項](provision-automatically.md#auto-provisioning-considerations)。
+ **回復** – 您可以隨時使用 IAM Identity Center 將身分來源還原為 。請參閱 [從外部 IdP 變更為 IAM Identity Center](#changing-from-idp-and-idc)。
+ **現有的使用者工作階段會在工作階段持續時間到期時撤銷** – 一旦您將身分來源變更為外部身分提供者，作用中的使用者工作階段會在主控台中設定的工作階段持續時間上限剩餘時間內保留。例如，如果 AWS 存取入口網站工作階段持續時間設定為 8 小時，且您在第四小時內變更了身分來源，則作用中的使用者工作階段會再保留 4 小時。若要撤銷使用者工作階段，請參閱 [檢視和結束人力使用者的作用中工作階段](end-active-sessions.md)。

  如果在 IAM Identity Center 主控台中使用 Identity Store APIs刪除或停用使用者，具有作用中工作階段的使用者可以繼續存取整合的應用程式和帳戶。如需身分驗證工作階段持續時間和使用者行為的資訊，請參閱 [了解 IAM Identity Center 中的身分驗證工作階段](authconcept.md)。
**注意**  
刪除使用者之後，您無法從 IAM Identity Center 主控台撤銷使用者工作階段。

如需 IAM Identity Center 如何佈建使用者和群組的資訊，請參閱 [外部身分提供者](manage-your-identity-source-idp.md)。

## 從外部 IdP 變更為 IAM Identity Center
<a name="changing-from-idp-and-idc"></a>

如果您將身分來源從外部身分提供者 (IdP) 變更為 IAM Identity Center，請考慮下列事項：
+ IAM Identity Center 會保留您的所有指派。
+ **強制重設密碼** – 在 IAM Identity Center 中擁有密碼的使用者可以繼續使用其舊密碼繼續登入。對於位於外部 IdP 且不在 IAM Identity Center 的使用者，管理員必須強制重設密碼。
+ **現有的使用者工作階段會在工作階段持續時間到期時撤銷** – 一旦您將身分來源變更為 IAM Identity Center，作用中的使用者工作階段會在主控台中設定的工作階段持續時間上限的剩餘期間內保留。例如，如果 AWS 存取入口網站工作階段持續時間為 8 小時，而且您在第四小時變更了身分來源，則作用中的使用者工作階段會繼續額外執行 4 小時。若要撤銷使用者工作階段，請參閱 [檢視和結束人力使用者的作用中工作階段](end-active-sessions.md)。

  如果在 IAM Identity Center 主控台中使用 Identity Store APIs刪除或停用使用者，具有作用中工作階段的使用者可以繼續存取整合的應用程式和帳戶。如需身分驗證工作階段持續時間和使用者行為的資訊，請參閱 [了解 IAM Identity Center 中的身分驗證工作階段](authconcept.md)。
**注意**  
刪除使用者之後，您將無法從 IAM Identity Center 主控台撤銷使用者工作階段。
+ **多區域支援** – 如果您已將 IAM Identity Center 複寫至其他區域或計劃這樣做，您必須使用外部身分提供者做為身分來源。如需包含其他先決條件的詳細資訊，請參閱 [跨多個 使用 IAM Identity Center AWS 區域](multi-region-iam-identity-center.md)。

如需 IAM Identity Center 如何佈建使用者和群組的資訊，請參閱 [在 Identity Center 目錄中管理使用者](manage-your-identity-source-sso.md)。

## 從一個外部 IdP 變更為另一個外部 IdP
<a name="changing-from-one-idp-to-another-idp"></a>

如果您已經使用外部 IdP 做為 IAM Identity Center 的身分來源，並變更為不同的外部 IdP，請考慮下列事項：
+ **指派和成員資格使用正確的聲明** – IAM Identity Center 會保留所有指派。只要新的 IdP 傳送正確的聲明 （例如 SAML nameIDs)，使用者指派、群組指派和群組成員資格就會繼續運作。

   當您的使用者透過新的外部 IdP 驗證時，這些聲明必須符合 IAM Identity Center 中的使用者名稱。
+ **SCIM 佈建** – 如果您使用 SCIM 佈建至 IAM Identity Center，建議您檢閱本指南中的 IdP 特定資訊，以及 IdP 提供的文件，以確保新的供應商在啟用 SCIM 時正確符合使用者和群組。
+ **現有的使用者工作階段會在工作階段持續時間到期時撤銷** – 一旦您將身分來源變更為不同的外部身分提供者，作用中的使用者工作階段會在主控台中設定的工作階段持續時間上限的剩餘期間內保留。例如，如果 AWS 存取入口網站工作階段持續時間為 8 小時，而且您在第四小時變更了身分來源，則作用中的使用者工作階段會再保留 4 小時。若要撤銷使用者工作階段，請參閱 [檢視和結束人力使用者的作用中工作階段](end-active-sessions.md)。

  如果在 IAM Identity Center 主控台中使用 Identity Store APIs刪除或停用使用者，具有作用中工作階段的使用者可以繼續存取整合的應用程式和帳戶。如需身分驗證工作階段持續時間和使用者行為的資訊，請參閱 [了解 IAM Identity Center 中的身分驗證工作階段](authconcept.md)。
**注意**  
刪除使用者之後，您無法從 IAM Identity Center 主控台撤銷使用者工作階段。

如需 IAM Identity Center 如何佈建使用者和群組的資訊，請參閱 [外部身分提供者](manage-your-identity-source-idp.md)。

## 在 Active Directory 和外部 IdP 之間變更
<a name="changing-between-microsoft-ad-and-azure-active-directory"></a>

如果您將身分來源從外部 IdP 變更為 Active Directory，或從 Active Directory 變更為外部 IdP，請考慮下列事項：
+ **刪除使用者、群組和指派** – 從 IAM Identity Center 刪除所有使用者、群組和指派。外部 IdP 或 Active Directory 中不會影響使用者或群組資訊。
+ **佈建使用者** – 如果您變更為外部 IdP，則必須設定 IAM Identity Center 來佈建使用者。或者，您必須先手動佈建外部 IdP 的使用者和群組，才能設定指派。
+ **建立指派和群組** – 如果您變更為 Active Directory，您必須使用 Active Directory 中目錄中的使用者和群組來建立指派。
+ 如果在 IAM Identity Center 主控台中使用 Identity Store APIs刪除或停用使用者，具有作用中工作階段的使用者可以繼續存取整合的應用程式和帳戶。如需身分驗證工作階段持續時間和使用者行為的資訊，請參閱 [了解 IAM Identity Center 中的身分驗證工作階段](authconcept.md)。
+ **多區域支援** – 如果您已將 IAM Identity Center 複寫至其他區域或計劃這樣做，您必須使用外部身分提供者做為身分來源。如需包含其他先決條件的詳細資訊，請參閱 [跨多個 使用 IAM Identity Center AWS 區域](multi-region-iam-identity-center.md)。

如需 IAM Identity Center 如何佈建使用者和群組的資訊，請參閱 [Microsoft AD 目錄](manage-your-identity-source-ad.md)。

# 變更您的身分來源
<a name="manage-your-identity-source-change"></a>

下列程序說明如何從 IAM Identity Center 提供的目錄 （預設 Identity Center 目錄） 變更為 Active Directory 或外部身分提供者，或反之亦然。在繼續之前，請檢閱 中的資訊[變更身分來源的考量事項](manage-your-identity-source-considerations.md)。若要完成此程序，您需要 IAM Identity Center 的組織執行個體。如需詳細資訊，請參閱[IAM Identity Center 的組織和帳戶執行個體](identity-center-instances.md)。

**警告**  
根據您目前的部署，此變更會移除您在 IAM Identity Center 中設定的任何使用者和群組指派。此變更也會從您的 移除許可集 IAM 角色 AWS 帳戶。因此，您可能需要更新資源政策，並應確保這不會中斷對 AWS KMS 金鑰和 Amazon EKS 叢集的存取。如需詳細資訊，請參閱 [在資源政策、Amazon EKS 叢集組態映射和 AWS KMS 金鑰政策中參考許可集](referencingpermissionsets.md)。  
發生這種情況時，所有使用者和群組，包括 IAM Identity Center 中的管理使用者，都將失去對其 AWS 帳戶 和應用程式的單一登入存取權。

**變更您的身分來源**

1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。

1. 選擇**設定**。

1. 在**設定**頁面上，選擇**身分來源**索引標籤。選擇**動作**，然後選擇**變更身分來源**。

1. 在**選擇身分來源**下，選取您要變更的來源，然後選擇**下一步**。

   如果您要變更為 Active Directory，請從下一頁的選單中選擇可用的目錄。
**重要**  
在 Active Directory 之間變更您的身分來源會刪除 Identity Center 目錄中的使用者和群組。此變更也會移除您在 IAM Identity Center 中設定的任何指派。
**注意**  
如果您將 IAM Identity Center 複寫到其他區域，您將無法變更身分來源類型。您只能將目前的外部 IdP 取代為另一個外部 IdP。若要變更身分來源類型，您必須先移除所有其他區域。如需詳細資訊，請參閱[跨多個 使用 IAM Identity Center AWS 區域](multi-region-iam-identity-center.md)

   如果您要切換到外部身分提供者，建議您遵循中的步驟[如何連線至外部身分提供者](how-to-connect-idp.md)。

1. 在您閱讀免責聲明並準備好繼續之後，請輸入 **ACCEPT**。

1. 選擇**變更身分來源**。如果您要將身分來源變更為 Active Directory，請繼續下一個步驟。

1. 將身分來源變更為 Active Directory 會帶您前往**設定**頁面。在**設定**頁面上，執行下列其中一項操作：
   + 選擇**開始引導式設定**。如需如何完成引導式設定程序的詳細資訊，請參閱 [引導式設定](manage-sync-configurable-ADsync.md#manage-sync-guided-setup-configurable-ADsync)。
   + 在**身分來源**區段中，選擇**動作**，然後選擇**管理同步**以設定您的*同步範圍*，以及要同步的使用者和群組清單。

# IAM Identity Center 中支援的使用者和群組屬性
<a name="manage-your-identity-source-attribute-use"></a>

 本指南提供 IAM Identity Center 中 SCIM 屬性支援的參考。它列出 IAM Identity Center 身分存放區中支援 SCIM 規格中的哪些使用者和群組屬性，並識別不支援的特定屬性和子屬性。

屬性是可協助您定義和識別個別使用者或群組物件的資訊片段，例如 `name`、 `email`或 `members`。IAM Identity Center 透過手動項目和自動 SCIM 佈建支援最常用的屬性。
+ 如需跨網域身分管理 (SCIM) 規格的相關資訊，請參閱 https：//[https://tools.ietf.org/html/rfc7642](https://tools.ietf.org/html/rfc7642)。
+ 如需手動和自動佈建的相關資訊，請參閱 [使用者來自外部 IdP 時的佈建](manage-your-identity-source-idp.md#provisioning-when-external-idp)。
+ 如需屬性映射的資訊，請參閱 [IAM Identity Center 與外部身分提供者目錄之間的屬性映射](attributemappingsconcept.md)。

由於 IAM Identity Center 支援 SCIM 自動佈建使用案例，因此 Identity Center 目錄支援 SCIM 規格中列出的所有相同使用者和群組屬性，但有少數例外。下列各節說明 IAM Identity Center 不支援哪些屬性。

## 不支援使用者物件
<a name="user-object-attributes"></a>

IAM Identity Center 身分存放區支援來自 SCIM 使用者結構描述 ([https://tools.ietf.org/html/rfc7643\$1section-8.3](https://tools.ietf.org/html/rfc7643#section-8.3)：//) 的所有屬性，但下列項目除外：
+ `password`
+ `ims`
+ `photos`
+ `entitlements`
+ `x509Certificates`

支援使用者的所有子屬性，但下列項目除外：
+ `'display'` 任何多值屬性的子屬性 （例如 `emails`或 `phoneNumbers`)
+ `'version'` `'meta'` 屬性的子屬性

## 不支援群組物件
<a name="group-object-attributes"></a>

支援 SCIM 群組結構描述 (https：//[https://tools.ietf.org/html/rfc7643\$1section-8.4](https://tools.ietf.org/html/rfc7643#section-8.4)) 中的所有屬性。

支援群組的所有子屬性，但下列項目除外：
+ `'display'` 任何多值屬性的子屬性 （例如成員）。

# 外部身分提供者
<a name="manage-your-identity-source-idp"></a>

使用 IAM Identity Center，您可以透過安全聲明標記語言 (SAML) 2.0 和跨網域身分管理 (SCIM) 通訊協定，從外部身分提供者 (IdPs) 連接現有的人力資源身分。這可讓您的使用者使用其公司登入資料登入 AWS 存取入口網站。然後，他們可以導覽至在外部 IdPs 中託管的指派帳戶、角色和應用程式。

例如，您可以將外部 IdP 例如 Okta或 Microsoft Entra ID連接到 IAM Identity Center。然後，您的使用者可以使用現有的 Okta或 Microsoft Entra ID登入資料登入 AWS 存取入口網站。若要控制使用者登入後可以執行的動作，您可以將存取許可集中指派給 AWS 組織中所有帳戶和應用程式。此外，開發人員可以使用現有的登入資料登入 AWS Command Line Interface (AWS CLI)，並受益於自動產生短期登入資料和輪換。

如果您在 Active Directory 或 中使用自我管理目錄 AWS Managed Microsoft AD，請參閱 [Microsoft AD 目錄](manage-your-identity-source-ad.md)。

**注意**  
SAML 通訊協定不提供查詢 IdP 以了解使用者和群組的方式。因此，您必須將使用者和群組佈建到 IAM Identity Center，讓 IAM Identity Center 知道這些使用者和群組。

## 使用者來自外部 IdP 時的佈建
<a name="provisioning-when-external-idp"></a>

使用外部 IdP 時，您必須先將所有適用的使用者和群組佈建至 IAM Identity Center，才能對 AWS 帳戶 或 應用程式進行任何指派。若要這樣做，您可以[使用 SCIM 從外部身分提供者佈建使用者和群組](provision-automatically.md)為使用者和群組設定 ，或使用 [手動佈建](provision-automatically.md#provision-manually)。無論您如何佈建使用者，IAM Identity Center 都會將 AWS 管理主控台、命令列界面和應用程式身分驗證重新導向至外部 IdP。然後，IAM Identity Center 會根據您在 IAM Identity Center 中建立的政策授予這些資源的存取權。如需佈建的詳細資訊，請參閱 [使用者和群組佈建](users-groups-provisioning.md#user-group-provision)。

**Topics**
+ [使用者來自外部 IdP 時的佈建](#provisioning-when-external-idp)
+ [如何連線至外部身分提供者](how-to-connect-idp.md)
+ [如何在 IAM Identity Center 中變更外部身分提供者的中繼資料](how-to-change-idp-metadata.md)
+ [搭配外部身分提供者使用 SAML 和 SCIM 聯合身分](other-idps.md)
+ [SCIM 設定檔和 SAML 2.0 實作](scim-profile-saml.md)

# 如何連線至外部身分提供者
<a name="how-to-connect-idp"></a>

支援的外部 IdPs 有不同的先決條件、考量事項和佈建程序。有幾個 step-by-step教學課程： IdPs
+ [CyberArk](cyberark-idp.md)
+ [Google Workspace](gs-gwp.md)
+ [JumpCloud](jumpcloud-idp.md)
+ [Microsoft Entra ID](idp-microsoft-entra.md)
+ [Okta](gs-okta.md)
+ [OneLogin](onelogin-idp.md)
+ [Ping 身分](pingidentity.md)

如需 IAM Identity Center 支援的外部 IdPs 考量事項的詳細資訊，請參閱 [搭配外部身分提供者使用 SAML 和 SCIM 聯合身分](other-idps.md)。

 下列程序提供與所有外部身分提供者搭配使用的程序的一般概觀。

**連線至外部身分提供者**

1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。

1. 選擇**設定**。

1. 在**設定**頁面上，選擇**身分來源**索引標籤，然後選擇**動作 > 變更身分來源**。

1. 在**選擇身分來源**下，選取**外部身分提供者**，然後選擇**下一步**。

1. 在**設定外部身分提供者**下，執行下列動作：

   1. 在**服務提供者中繼資料**下，選擇**下載中繼資料檔案**以下載中繼資料檔案，並將其儲存在系統中。外部身分提供者需要 IAM Identity Center SAML 中繼資料檔案。
**注意**  
您下載的 SAML 中繼資料檔案包含IPv4-only和雙堆疊聲明消費者服務 (ACS) URLs。此外，如果您的 IAM Identity Center 複寫到其他區域，中繼資料檔案會包含每個其他區域的 ACS URLs。如果您的外部 IdP 限制了 ACS URLs 的數量，您將需要移除不必要的 ACS URLs。例如，如果您的組織已完全採用雙堆疊端點，且不再使用IP4v-only 的端點，您可以移除後者。另一種方法是不使用中繼資料檔案，而是將 ACS URLs 複製並貼到外部 IdP 中。

   1. 在**身分提供者中繼資料**下，選擇**選擇檔案**，然後找到您從外部身分提供者下載的中繼資料檔案。然後上傳檔案。此中繼資料檔案包含必要的公有 x509 憑證，用於信任從 IdP 傳送的訊息。

   1. 選擇**下一步**。
**重要**  
在 Active Directory 之間變更來源會移除所有現有的使用者和群組指派。成功變更來源後，您必須手動重新套用指派。

1. 在您閱讀免責聲明並準備好繼續之後，請輸入 **ACCEPT**。

1. 選擇**變更身分來源**。狀態訊息會通知您已成功變更身分來源。

# 如何在 IAM Identity Center 中變更外部身分提供者的中繼資料
<a name="how-to-change-idp-metadata"></a>

您可以變更先前提供給 IAM Identity Center 的外部身分提供者中繼資料。這些變更會影響使用者透過 IAM Identity Center 登入和存取 AWS 資源的能力。下列程序說明如何更新存放在 IAM Identity Center 中的外部 IdP 中繼資料。若要完成此程序，您需要 IAM Identity Center 的組織執行個體。如需詳細資訊，請參閱[IAM Identity Center 的組織和帳戶執行個體](identity-center-instances.md)。

**變更外部身分提供者的中繼資料**

1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。

1. 選擇**設定**。

1. 在**設定**頁面上，選擇**身分來源**索引標籤。選擇**動作**，然後選擇**管理身分驗證**。

1. 在**身分提供者中繼資料**區段中，選擇**編輯 IdP 中繼資料**。您可以在此頁面上變更外部 IdP 的 IdP 登入 URL 和 或 IdP 發行者 URL。當您進行所有必要**的變更時，請選擇儲存**變更。

# 搭配外部身分提供者使用 SAML 和 SCIM 聯合身分
<a name="other-idps"></a>

IAM Identity Center 針對聯合身分實作下列標準型通訊協定：
+ 用於使用者身分驗證的 SAML 2.0
+ 用於佈建的 SCIM

實作這些標準通訊協定的任何身分提供者 (IdP) 預期會與 IAM Identity Center 成功互通，但有下列特殊考量：
+ **SAML**
  + IAM Identity Center 需要電子郵件地址的 SAML nameID 格式 （即 `urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress`)。
  + 宣告中 nameID 欄位的值必須是 RFC 2822 ([https://tools.ietf.org/html/rfc2822](https://tools.ietf.org/html/rfc2822)) addr-spec 合規 (“`name@domain.com`”) 字串 ([https://tools.ietf.org/html/rfc2822\$1section-3.4.1](https://tools.ietf.org/html/rfc2822#section-3.4.1))。
  + 中繼資料檔案不能超過 75000 個字元。
  + 中繼資料必須包含 entityId、X509 憑證和 SingleSignOnService，做為登入 URL 的一部分。
  + 不支援加密金鑰。
  + IAM Identity Center 不支援簽署傳送至外部 IdPs SAML 身分驗證請求。
  + 如果您打算將 IAM Identity Center 複寫到其他區域，IdP 必須支援多個聲明消費者服務 (ACS) URLs，並充分利用多區域 IAM Identity Center 的優勢。如需詳細資訊，請參閱[跨多個 使用 IAM Identity Center AWS 區域](multi-region-iam-identity-center.md)。使用單一 ACS URL 可能會影響其他區域中的使用者體驗。您的主要區域會繼續正常運作。如需使用單一 ACS URL 在其他區域中使用者體驗的詳細資訊，請參閱 [使用沒有多個 ACS URLs AWS 受管應用程式](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls)和 [AWS 帳戶 在沒有多個 ACS URLs存取彈性](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url)。
+ **SCIM**
  + IAM Identity Center SCIM 實作是以 SCIM RFCs7642 ([https://tools.ietf.org/html/rfc7642](https://tools.ietf.org/html/rfc7642))、7643 ([https://tools.ietf.org/html/rfc7643](https://tools.ietf.org/html/rfc7643)) 和 7644 ([https://tools.ietf.org/html/rfc7644](https://tools.ietf.org/html/rfc7644)) 為基礎，以及 FastFed Basic SCIM Profile 1.0 ([https://openid.net/specs/fastfed-scim-1\$10-02.html\$1rfc.section.4](https://openid.net/specs/fastfed-scim-1_0-02.html#rfc.section.4)) 的 2020 年 3 月草案中概述的互通性要求。IAM Identity Center SCIM 實作開發人員指南的[支援 API 操作](https://docs.aws.amazon.com/singlesignon/latest/developerguide/supported-apis.html)一節說明這些文件與 IAM Identity Center 中目前實作之間的差異。 **

不支援不符合上述標準和考量事項的 IdPs。如需有關其產品是否符合這些標準和考量事項的問題或釐清，請聯絡您的 IdP。

如果您在將 IdP 連線至 IAM Identity Center 時遇到任何問題，建議您檢查：
+ AWS CloudTrail 透過篩選事件名稱 **ExternalIdPDirectoryLogin** 的 日誌
+ IdP 特定的日誌和/或偵錯日誌
+ [對 IAM Identity Center 問題進行故障診斷](troubleshooting.md)

**注意**  
有些 IdPs，例如 中的 IdP[IAM Identity Center 身分來源教學課程](tutorials.md)，以專為 IAM Identity Center 建置的「應用程式」或「連接器」形式，為 IAM Identity Center 提供簡化的組態體驗。如果您的 IdP 提供此選項，我們建議您使用它，請小心選擇專為 IAM Identity Center 建置的項目。其他稱為「AWS」、「AWS 聯合」或類似一般「AWS」名稱的項目可能會使用其他聯合方法和/或端點，並且可能無法如預期與 IAM Identity Center 搭配使用。

# SCIM 設定檔和 SAML 2.0 實作
<a name="scim-profile-saml"></a>

SCIM 和 SAML 都是設定 IAM Identity Center 的重要考量事項。

## SAML 2.0 實作
<a name="samlfederationconcept"></a>

IAM Identity Center 支援 [SAML （安全性聲明標記語言）](https://wiki.oasis-open.org/security) 2.0 的聯合身分。這可讓 IAM Identity Center 從外部身分提供者 (IdPs) 驗證身分。SAML 2.0 是一項開放標準，用於安全地交換 SAML 聲明。SAML 2.0 會在 SAML 授權單位 （稱為身分提供者或 IdP) 與 SAML 消費者 （稱為服務提供者或 SP) 之間傳遞使用者的相關資訊。IAM Identity Center 服務會使用此資訊來提供聯合單一登入。單一登入可讓使用者根據現有的身分提供者憑證來存取 AWS 帳戶 和設定應用程式。

IAM Identity Center 會將 SAML IdP 功能新增至您的 IAM Identity Center 存放區 AWS Managed Microsoft AD或外部身分提供者。然後，使用者可以單一登入支援 SAML 的服務，包括 AWS 管理主控台 和第三方應用程式Concur，例如 Microsoft 365、 和 Salesforce。

不過，SAML 通訊協定不提供查詢 IdP 以了解使用者和群組的方式。因此，您必須將使用者和群組佈建到 IAM Identity Center，讓 IAM Identity Center 知道這些使用者和群組。

## SCIM 設定檔
<a name="scim-profile"></a>

IAM Identity Center 支援跨網域身分管理 (SCIM) 2.0 版標準。SCIM 讓您的 IAM Identity Center 身分與 IdP 中的身分保持同步。這包括在您的 IdP 與 IAM Identity Center 之間佈建、更新和取消佈建使用者。

如需如何實作 SCIM 的詳細資訊，請參閱 [使用 SCIM 從外部身分提供者佈建使用者和群組](provision-automatically.md)。如需 IAM Identity Center SCIM 實作的其他詳細資訊，請參閱 [IAM Identity Center SCIM 實作開發人員指南](https://docs.aws.amazon.com/singlesignon/latest/developerguide/what-is-scim.html)。

**Topics**
+ [SAML 2.0 實作](#samlfederationconcept)
+ [SCIM 設定檔](#scim-profile)
+ [使用 SCIM 從外部身分提供者佈建使用者和群組](provision-automatically.md)
+ [輪換 SAML 2.0 憑證](managesamlcerts.md)

# 使用 SCIM 從外部身分提供者佈建使用者和群組
<a name="provision-automatically"></a>

IAM Identity Center 支援使用跨網域身分管理 (SCIM) 2.0 版通訊協定，將身分提供者 (IdP) 的使用者和群組資訊自動佈建 （同步） 至 IAM Identity Center。當您設定 SCIM 同步時，您可以建立身分提供者 (IdP) 使用者屬性與 IAM Identity Center 中具名屬性的映射。這會導致 IAM Identity Center 和 IdP 之間的預期屬性相符。您可以使用 IAM Identity Center 的 SCIM 端點和您在 IAM Identity Center 中建立的承載字符，在 IdP 中設定此連線。

**Topics**
+ [使用自動佈建的考量事項](#auto-provisioning-considerations)
+ [如何監控存取權杖過期](#access-token-expiry)
+ [產生存取權杖](generate-token.md)
+ [啟用自動佈建](how-to-with-scim.md)
+ [刪除存取權杖](delete-token.md)
+ [停用自動佈建](disable-provisioning.md)
+ [輪換存取字符](rotate-token.md)
+ [稽核和協調自動佈建的資源](reconcile-auto-provisioning.md)
+ [手動佈建](#provision-manually)

## 使用自動佈建的考量事項
<a name="auto-provisioning-considerations"></a>

開始部署 SCIM 之前，建議您先檢閱下列有關其如何與 IAM Identity Center 搭配使用的重要考量。如需其他佈建考量，請參閱[IAM Identity Center 身分來源教學課程](tutorials.md)適用於 IdP 的 。
+ 如果您要佈建主要電子郵件地址，則每個使用者的此屬性值必須是唯一的。在某些 IdPs中，主要電子郵件地址可能不是真正的電子郵件地址。例如，它可能是僅看起來像電子郵件的通用主體名稱 (UPN)。這些 IdPs可能有次要或「其他」電子郵件地址，其中包含使用者的真實電子郵件地址。您必須在 IdP 中設定 SCIM，將非空的唯一電子郵件地址對應至 IAM Identity Center 主要電子郵件地址屬性。而且，您必須將使用者非空的唯一登入識別符映射至 IAM Identity Center 使用者名稱屬性。檢查您的 IdP 是否有單一值同時是登入識別符和使用者的電子郵件名稱。如果是這樣，您可以將該 IdP 欄位映射到 IAM Identity Center 主要電子郵件和 IAM Identity Center 使用者名稱。
+ 若要讓 SCIM 同步運作，每個使用者都必須指定**名字**、**姓氏**、**使用者名稱**和**顯示名稱**值。如果使用者遺失任何這些值，將不會佈建該使用者。
+ 如果您需要使用第三方應用程式，您必須先將傳出 SAML 主體屬性映射至使用者名稱屬性。如果第三方應用程式需要可路由的電子郵件地址，您必須將電子郵件屬性提供給 IdP。
+ SCIM 佈建和更新間隔由您的身分提供者控制。只有在您的身分提供者將變更傳送至 IAM Identity Center 之後，您的身分提供者的使用者和群組變更才會反映在 IAM Identity Center 中。如需使用者和群組更新頻率的詳細資訊，請洽詢您的身分提供者。
+ 目前，不會使用 SCIM 佈建多值屬性 （例如指定使用者的多個電子郵件或電話號碼）。嘗試將多值屬性與 SCIM 同步至 IAM Identity Center 將會失敗。為了避免失敗，請確保每個屬性只傳遞一個值。如果您有具有多值屬性的使用者，請在 IdP 移除或修改 SCIM 中重複的屬性映射，以連線至 IAM Identity Center。
+ 確認 IdP 的 `externalId` SCIM 映射對應至使用者唯一、永遠存在且最不可能變更的值。例如，您的 IdP 可能會提供保證`objectId`或其他識別符，不受名稱和電子郵件等使用者屬性的變更影響。如果是這樣，您可以將該值映射到 SCIM `externalId` 欄位。如果您需要變更使用者的名稱或電子郵件，這可確保您的使用者不會遺失 AWS 權利、指派或許可。
+ 尚未指派給應用程式或 AWS 帳戶 無法佈建至 IAM Identity Center 的使用者。若要同步使用者和群組，請確定他們已指派給應用程式或其他代表 IdP 與 IAM Identity Center 連線的設定。
+ 使用者取消佈建行為由身分提供者管理，並可能因其實作而有所不同。如需取消佈建使用者的詳細資訊，請洽詢您的身分提供者。
+ 使用 IdP 的 SCIM 設定自動佈建之後，您無法再在 IAM Identity Center 主控台中新增或編輯使用者。如果您需要新增或修改使用者，您必須從外部 IdP 或身分來源執行此操作。

如需 IAM Identity Center SCIM 實作的詳細資訊，請參閱 [IAM Identity Center SCIM 實作開發人員指南](https://docs.aws.amazon.com/singlesignon/latest/developerguide/what-is-scim.html)。

## 如何監控存取權杖過期
<a name="access-token-expiry"></a>

SCIM 存取字符的產生有效期為一年。當您的 SCIM 存取權杖設定為在 90 天內過期時， 會在 IAM Identity Center 主控台和儀表板中 AWS 傳送提醒 AWS Health ，以協助您輪換權杖。透過在過期之前輪換 SCIM 存取權杖，您可以持續保護使用者和群組資訊的自動佈建。如果 SCIM 存取權杖過期，使用者和群組資訊從您的身分提供者同步到 IAM Identity Center 會停止，因此自動佈建無法再進行更新或建立和刪除資訊。中斷自動佈建可能會增加安全風險，並影響對您服務的存取。

Identity Center 主控台提醒會持續存在，直到您輪換 SCIM 存取權杖並刪除任何未使用的或過期的存取權杖為止。 AWS Health 儀表板事件每週續約 90 到 60 天、每週兩次從 60 到 30 天、每週三次從 30 到 15 天，以及每天 15 天，直到 SCIM 存取字符過期為止。

# 產生存取權杖
<a name="generate-token"></a>

使用下列程序在 IAM Identity Center 主控台中產生新的存取權杖。

**注意**  
此程序需要您先前已啟用自動佈建。如需詳細資訊，請參閱[啟用自動佈建](how-to-with-scim.md)。

**產生新的存取權杖**

1. 在 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)中，選擇左側導覽窗格中**的設定**。

1. 在**設定**頁面上，選擇**身分來源**索引標籤，然後選擇**動作 > 管理佈建**。

1. 在**自動佈建**頁面的**存取字符**下，選擇**產生字符**。

1. 在**產生新的存取權杖**對話方塊中，複製新的存取權杖並將其儲存在安全的地方。

1. 選擇**關閉**。

# 啟用自動佈建
<a name="how-to-with-scim"></a>

使用下列程序，使用 SCIM 通訊協定，將使用者和群組從 IdP 自動佈建至 IAM Identity Center。

**注意**  
在開始此程序之前，建議您先檢閱適用於 IdP 的佈建考量。如需詳細資訊，請參閱 IdP [IAM Identity Center 身分來源教學課程](tutorials.md)的 。

**在 IAM Identity Center 中啟用自動佈建**

1. 完成先決條件後，請開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。

1. 在左側導覽窗格中選擇**設定**。

1. 在**設定**頁面上，找到**自動佈建**資訊方塊，然後選擇**啟用**。這會立即在 IAM Identity Center 中啟用自動佈建，並顯示必要的 SCIM 端點和存取字符資訊。

1. 在**傳入自動佈建**對話方塊中，複製 SCIM 端點和存取字符。稍後在 IdP 中設定佈建時，您需要將這些項目貼入 。

   1. **SCIM 端點** - 例如，https://scim.*us-east-2*.amazonaws.com/*1111111111-2222-3333-4444-555555555*/scim/v2

   1. **存取字符** - 選擇**顯示字符**以複製值。
**警告**  
這是您唯一可以取得 SCIM 端點和存取權杖的時間。在繼續之前，請務必複製這些值。您將在本教學稍後輸入這些值，以設定 IdP 中的自動佈建。

1. 選擇**關閉**。

完成此程序後，您必須在 IdP 中設定自動佈建。如需詳細資訊，請參閱 IdP [IAM Identity Center 身分來源教學課程](tutorials.md)的 。

# 刪除存取權杖
<a name="delete-token"></a>

使用下列程序刪除 IAM Identity Center 主控台中的現有存取權杖。

**若要刪除現有的存取權杖**

1. 在 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)中，選擇左側導覽窗格中**的設定**。

1. 在**設定**頁面上，選擇**身分來源**索引標籤，然後選擇**動作 > 管理佈建**。

1. 在**自動佈建**頁面的**存取字符**下，選取您要刪除的存取字符，然後選擇**刪除**。

1. 在**刪除存取權杖**對話方塊中，檢閱資訊，輸入 **DELETE**，然後選擇**刪除存取權杖**。

# 停用自動佈建
<a name="disable-provisioning"></a>

使用下列程序在 IAM Identity Center 主控台中停用自動佈建。

**重要**  
您必須先刪除存取權杖，才能開始此程序。如需詳細資訊，請參閱[刪除存取權杖](delete-token.md)。

**在 IAM Identity Center 主控台中停用自動佈建**

1. 在 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)中，選擇左側導覽窗格中**的設定**。

1. 在**設定**頁面上，選擇**身分來源**索引標籤，然後選擇**動作 > 管理佈建**。

1. 在**自動佈建**頁面上，選擇**停用**。

1. 在**停用自動佈建**對話方塊中，檢閱資訊，輸入 **DISABLE**，然後選擇**停用自動佈建**。

# 輪換存取字符
<a name="rotate-token"></a>

IAM Identity Center 目錄一次最多支援兩個存取字符。若要在任何輪換之前產生額外的存取權杖，請刪除任何過期或未使用的存取權杖。

如果您的 SCIM 存取權杖即將過期，您可以使用下列程序在 IAM Identity Center 主控台中輪換現有的存取權杖。

**輪換存取字符**

1. 在 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)中，選擇左側導覽窗格中**的設定**。

1. 在**設定**頁面上，選擇**身分來源**索引標籤，然後選擇**動作 > 管理佈建**。

1. 在**自動佈建**頁面的**存取字符**下，記下您要輪換的字符的字符 ID。

1. 請依照 中的步驟[產生存取權杖](generate-token.md)建立新的權杖。如果您已建立最大數量的 SCIM 存取權杖，您必須先刪除其中一個現有的權杖。

1. 前往您的身分提供者的網站，設定新的存取字符以進行 SCIM 佈建，然後使用新的 SCIM 存取字符測試與 IAM Identity Center 的連線。確認佈建使用新的字符成功運作後，請繼續此程序的下一個步驟。

1. 請依照 中的步驟[刪除存取權杖](delete-token.md)，刪除您先前記下的舊存取字符。您也可以使用字符的建立日期作為要移除字符的提示。

# 稽核和協調自動佈建的資源
<a name="reconcile-auto-provisioning"></a>

SCIM 可讓您自動將使用者、群組和群組成員資格從身分來源佈建至 IAM Identity Center。本指南可協助您驗證和協調這些資源，以維持準確的同步。

## 為什麼要稽核您的資源？
<a name="reconcile-auto-provisioning-why-audit"></a>

定期稽核有助於確保您的存取控制保持準確，且您的身分提供者 (IdP) 與 IAM Identity Center 保持適當同步。這對安全合規和存取管理尤其重要。

您可以稽核的資源：
+ 使用者
+ Groups (群組)
+ 群組成員資格

 您可以使用 AWS Identity Store [APIs](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/welcome.html)或 [CLI 命令](https://docs.aws.amazon.com/cli/latest/reference/identitystore/)來執行稽核和調校。下列範例使用 AWS CLI 命令。如需 API 替代方案，請參閱 * Identity Store API 參考*中的[對應操作](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_Operations.html)。

## 如何稽核資源
<a name="how-to-audit-resources"></a>

以下是如何使用 AWS CLI 命令稽核這些資源的範例。

開始前，請確保您具備以下條件：
+ IAM Identity Center 的管理員存取權。
+ AWS CLI 已安裝並設定。如需詳細資訊，請參閱 [https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html)。
+ Identity Store 命令所需的 IAM 許可。

### 步驟 1：列出目前的資源
<a name="list-current-resources"></a>

您可以使用 檢視目前的 資源 AWS CLI。

**注意**  
 使用 時 AWS CLI，除非您指定 ，否則系統會自動處理分頁`--no-paginate`。如果您直接呼叫 API （例如，使用 SDK 或自訂指令碼），請在回應`NextToken`中處理 。這可確保您擷取跨多個頁面的所有結果。

**Example 適用於 使用者**  

```
aws identitystore list-users \
  --region REGION \
  --identity-store-id IDENTITY_STORE_ID
```

**Example 適用於 群組的**  

```
aws identitystore list-groups \
  --region REGION \
  --identity-store-id IDENTITY_STORE_ID
```

**Example 群組成員資格**  

```
aws identitystore list-group-memberships \
  --region REGION \
  --identity-store-id IDENTITY_STORE_ID
  --group-id GROUP_ID
```

### 步驟 2：與您的身分來源比較
<a name="compare-idenity-source"></a>

將列出的資源與您的身分來源進行比較，以識別任何差異，例如：
+ IAM Identity Center 中應佈建的遺失資源。
+ 應從 IAM Identity Center 移除的額外資源。

**Example 適用於 使用者**  

```
# Create missing users
aws identitystore create-user \
  --identity-store-id IDENTITY_STORE_ID \
  --user-name USERNAME \
  --display-name DISPLAY_NAME \
  --name GivenName=FIRST_NAME,FamilyName=LAST_NAME \
  --emails Value=EMAIL,Primary=true

# Delete extra users
aws identitystore delete-user \
  --identity-store-id IDENTITY_STORE_ID \
  --user-id USER_ID
```

**Example 適用於 群組的**  

```
# Create missing groups
aws identitystore create-group \
  --identity-store-id IDENTITY_STORE_ID \
  [group attributes]
  
# Delete extra groups
aws identitystore delete-group \
  --identity-store-id IDENTITY_STORE_ID \
  --group-id GROUP_ID
```

**Example 群組成員資格**  

```
# Add missing members
aws identitystore create-group-membership \
  --identity-store-id IDENTITY_STORE_ID \
  --group-id GROUP_ID \
  --member-id '{"UserId": "USER_ID"}'
  
# Remove extra members
aws identitystore delete-group-membership \
  --identity-store-id IDENTITY_STORE_ID \
  --membership-id MEMBERSHIP_ID
```

## 考量事項
<a name="audit-resources-consideratons"></a>
+ 命令受限於[服務配額和 API 限流](limits.md#ssothrottlelimits)。
+ 當您在對帳期間發現許多差異時，請對 AWS Identity Store 進行小型、漸進的變更。這可協助您避免影響多個使用者的錯誤。
+ SCIM 同步可以覆寫您的手動變更。檢查您的 IdP 設定以了解此行為。

## 手動佈建
<a name="provision-manually"></a>

有些 IdPs 沒有跨網域身分管理 (SCIM) 支援系統，或具有不相容的 SCIM 實作。在這些情況下，您可以透過 IAM Identity Center 主控台手動佈建使用者。當您將使用者新增至 IAM Identity Center 時，請確定您將使用者名稱設定為與 IdP 中的使用者名稱相同。您至少必須擁有唯一的電子郵件地址和使用者名稱。如需詳細資訊，請參閱[使用者名稱和電子郵件地址唯一性](users-groups-provisioning.md#username-email-unique)。

您還必須在 IAM Identity Center 中手動管理所有群組。若要這樣做，您可以使用 IAM Identity Center 主控台建立群組並新增群組。這些群組不需要符合 IdP 中存在的內容。如需詳細資訊，請參閱[Groups (群組)](users-groups-provisioning.md#groups-concept)。

# 輪換 SAML 2.0 憑證
<a name="managesamlcerts"></a>

IAM Identity Center 使用憑證來設定 IAM Identity Center 與您的外部身分提供者 (IdP) 之間的 SAML 信任關係。在 IAM Identity Center 中新增外部 IdP 時，您還必須從外部 IdP 取得至少一個公有 SAML 2.0 X.509 憑證。該憑證通常在信任建立期間的 IdP SAML 中繼資料交換期間自動安裝。

身為 IAM Identity Center 管理員，您偶爾需要用較新的 IdP 憑證取代較舊的 IdP 憑證。例如，當憑證上的過期日期接近時，您可能需要取代 IdP 憑證。使用較新的憑證取代較舊憑證的程序稱為憑證輪換。

**Topics**
+ [輪換 SAML 2.0 憑證](rotatesamlcert.md)
+ [憑證過期狀態指示燈](samlcertexpirationindicators.md)

# 輪換 SAML 2.0 憑證
<a name="rotatesamlcert"></a>

您可能需要定期匯入憑證，才能輪換身分提供者發行的無效或過期憑證。這有助於防止身分驗證中斷或停機。所有匯入的憑證都會自動啟用。只有在確保憑證不再與相關聯的身分提供者搭配使用之後，才應該刪除憑證。

您也應該考慮某些 IdPs可能不支援多個憑證。在這種情況下，使用這些 IdPs 輪換憑證的行為可能意味著使用者暫時的服務中斷。成功重新建立與該 IdP 的信任時，會還原服務。如果可能，請在尖峰時段仔細規劃此操作。

**注意**  
作為安全最佳實務，在現有 SAML 憑證發生任何入侵或處理不當的跡象時，您應該立即移除並輪換憑證。

輪換 IAM Identity Center 憑證是一個包含下列項目的多步驟程序：
+ 從 IdP 取得新憑證
+ 將新憑證匯入 IAM Identity Center
+ 在 IdP 中啟用新憑證
+ 刪除較舊的憑證

使用下列所有程序來完成憑證輪換程序，同時避免任何身分驗證停機時間。

**步驟 1：從 IdP 取得新憑證**

前往 IdP 網站並下載其 SAML 2.0 憑證。請確定已下載 PEM 編碼格式的憑證檔案。大多數提供者允許您在 IdP 中建立多個 SAML 2.0 憑證。這些項目可能會標示為已停用或非作用中。

**步驟 2：將新憑證匯入 IAM Identity Center**

使用下列程序，使用 IAM Identity Center 主控台匯入新憑證。

1. 在 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)中，選擇**設定**。

1. 在**設定**頁面上，選擇**身分來源**索引標籤，然後選擇**動作 > 管理身分驗證**。

1. 在**管理 SAML 2.0 憑證**頁面上，選擇**匯入憑證**。

1. 在**匯入 SAML 2.0 憑證**對話方塊中，選擇**選擇檔案**，導覽至您的憑證檔案並加以選取，然後選擇**匯入憑證**。

此時，IAM Identity Center 會信任從您匯入的兩個憑證簽署的所有傳入 SAML 訊息。

**步驟 3：在 IdP 中啟用新憑證**

返回 IdP 網站，並將您先前建立的新憑證標記為主要憑證或作用中憑證。此時，IdP 簽署的所有 SAML 訊息都應使用新的憑證。

**步驟 4：刪除舊憑證**

使用下列程序來完成 IdP 的憑證輪換程序。至少必須列出一個有效的憑證，而且無法移除。

**注意**  
刪除之前，請確定您的身分提供者不再使用此憑證簽署 SAML 回應。

1. 在**管理 SAML 2.0 憑證**頁面上，選擇您要刪除的憑證。選擇 **刪除**。

1. 在**刪除 SAML 2.0 憑證**對話方塊中，輸入 **DELETE** 進行確認，然後選擇**刪除**。

1. 返回 IdP 的網站並執行必要的步驟，以移除較舊的非作用中憑證。

# 憑證過期狀態指示燈
<a name="samlcertexpirationindicators"></a>

**管理 SAML 2.0 憑證**頁面會在清單中每個憑證旁的**過期資料**欄中顯示彩色狀態指示燈圖示。以下說明 IAM Identity Center 用來判斷每個憑證顯示哪個圖示的條件。
+ **紅色** – 表示憑證已過期。
+ **黃色** – 表示憑證會在 90 天內過期。
+ **綠色** – 表示憑證有效，且至少再維持有效 90 天。

**檢查憑證的目前狀態**

1. 在 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)中，選擇**設定**。

1. 在**設定**頁面上，選擇**身分來源**索引標籤，然後選擇**動作 > 管理身分驗證**。

1. 在**管理 SAML 2.0 身分驗證**頁面的**管理 SAML 2.0 憑證**下，檢閱清單中憑證的狀態，如 **過期**資料欄所示。

# Microsoft AD 目錄
<a name="manage-your-identity-source-ad"></a>

透過 AWS IAM Identity Center，您可以使用 來連接 Active Directory (AD) 中的自我管理目錄或 中的目錄 AWS Managed Microsoft AD AWS Directory Service。此 Microsoft AD 目錄定義了管理員在使用 IAM Identity Center 主控台指派單一登入存取時可從中提取的身分集區。將公司目錄連線至 IAM Identity Center 之後，您就可以授予 AD 使用者或群組對應用程式或兩者 AWS 帳戶的存取權。

AWS Directory Service 可協助您設定和執行 中託管的獨立 AWS Managed Microsoft AD 目錄 AWS 雲端。您也可以使用 Directory Service 將 AWS 資源與現有的自我管理 AD 連線。若要設定 AWS Directory Service 以使用自我管理 AD，您必須先設定信任關係，將身分驗證延伸至雲端。

IAM Identity Center 使用 提供的連線 Directory Service ，對來源 AD 執行個體執行傳遞身分驗證。當您使用 AWS Managed Microsoft AD 做為身分來源時，IAM Identity Center 可以與透過 AD 信任連線之任何網域 AWS Managed Microsoft AD 的使用者搭配使用。如果您想要在四個或多個網域中尋找使用者，使用者在執行登入 IAM Identity Center 時必須使用 `DOMAIN\user`語法作為使用者名稱。

**備註**  
作為先決條件步驟，請確定 AWS Managed Microsoft AD 中的 AD Connector 或目錄 Directory Service 位於您的 AWS Organizations 管理帳戶中。
IAM Identity Center 不支援以 SAMBA 4 為基礎的 Simple AD 做為連線目錄。
 IAM Identity Center 無法同步外部安全委託人 (FSPs)。如果 中的 AWS Managed Microsoft AD 群組包含來自信任網域的成員做為 FSPs，這些成員將不會同步。

如需使用 Active Directory 做為 IAM Identity Center 身分來源的程序示範，請參閱下列YouTube影片：

[![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/OMbob_ef7J4?si=J23xw0EGkZOo8y9n/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/OMbob_ef7J4?si=J23xw0EGkZOo8y9n)


## 使用 Active Directory 的考量事項
<a name="considerations-ad-identitysource"></a>

如果您想要使用 Active Directory 做為身分來源，您的組態必須符合下列先決條件：
+ 如果您使用的是 AWS Managed Microsoft AD，則必須在設定 AWS Managed Microsoft AD 目錄 AWS 區域 的相同 中啟用 IAM Identity Center。IAM Identity Center 會將指派資料存放在與 目錄相同的區域中。若要管理 IAM Identity Center，您可能需要切換到已設定 IAM Identity Center 的區域。此外，請注意， AWS 存取入口網站使用與您的目錄相同的存取 URL。
+ 使用 管理帳戶中的 Active Directory：

  您必須在 中設定現有的 AD Connector 或 AWS Managed Microsoft AD 目錄 AWS Directory Service，而且必須位於您的 AWS Organizations 管理帳戶中。您 AWS Managed Microsoft AD 一次只能連接一個 AD Connector 目錄或 中的一個目錄。如果您需要支援多個網域或樹系，請使用 AWS Managed Microsoft AD。如需詳細資訊，請參閱：
  + [將 中的目錄 AWS Managed Microsoft AD 連接至 IAM Identity Center](connectawsad.md)
  + [將 Active Directory 中的自我管理目錄連接到 IAM Identity Center](connectonpremad.md)
+ 使用位於委派管理員帳戶中的 Active Directory：

  如果您計劃啟用 IAM Identity Center 委派管理員，並使用 Active Directory 做為 IAM Identity Center 身分來源，您可以使用位於委派管理員帳戶中的 AWS 目錄中設定的現有 AD Connector 或 AWS Managed Microsoft AD 目錄。

  如果您決定將 IAM Identity Center 身分來源從任何其他來源變更為 Active Directory，或將其從 Active Directory 變更為任何其他來源，則目錄必須位於 （由 擁有） IAM Identity Center 委派管理員成員帳戶中，如果存在的話，則必須位於管理帳戶中。

# 連接 Active Directory 並指定使用者
<a name="get-started-connect-id-source-ad-idp-specify-user"></a>

如果您已經在使用 Active Directory，下列主題將協助您準備將目錄連線至 IAM Identity Center。

您可以使用 IAM Identity Center 連接 Active Directory 中的 目錄 AWS Managed Microsoft AD 或自我管理目錄。

**注意**  
IAM Identity Center 不支援以 SAMBA4-based Simple AD 做為身分來源。

**AWS Managed Microsoft AD**

1. 檢閱 中的指引[Microsoft AD 目錄](manage-your-identity-source-ad.md)。

1. 請遵循 [將 中的目錄 AWS Managed Microsoft AD 連接至 IAM Identity Center](connectawsad.md) 中的步驟。

1. 設定 Active Directory 以同步您要將管理許可授予 IAM Identity Center 的使用者。如需詳細資訊，請參閱[將管理使用者同步至 IAM Identity Center](#sync-admin-user-from-ad)。

**Active Directory 中的自我管理目錄**

1. 檢閱 中的指引[Microsoft AD 目錄](manage-your-identity-source-ad.md)。

1. 請遵循 [將 Active Directory 中的自我管理目錄連接到 IAM Identity Center](connectonpremad.md) 中的步驟。

1. 設定 Active Directory 以同步您要將管理許可授予 IAM Identity Center 的使用者。如需詳細資訊，請參閱[將管理使用者同步至 IAM Identity Center](#sync-admin-user-from-ad)。

**外部 IdP**

1. 檢閱 中的指引[外部身分提供者](manage-your-identity-source-idp.md)。

1. 請遵循 [如何連線至外部身分提供者](how-to-connect-idp.md) 中的步驟。

1. 

   設定 IdP 將使用者佈建至 IAM Identity Center。
**注意**  
在設定從 IdP 到 IAM Identity Center 的所有人力資源身分的自動群組型佈建之前，建議您將要授予管理許可的單一使用者同步到 IAM Identity Center。

## 將管理使用者同步至 IAM Identity Center
<a name="sync-admin-user-from-ad"></a>

將 Active Directory 連線至 IAM Identity Center 之後，您可以指定要授予管理許可的使用者，然後將該使用者從目錄同步到 IAM Identity Center。

1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。

1. 選擇**設定**。

1. 在**設定**頁面上，選擇**身分來源**索引標籤，選擇**動作**，然後選擇**管理同步**。

1. 在**管理同步**頁面上，選擇**使用者**索引標籤，然後選擇**新增使用者和群組**。

1. 在**使用者**索引標籤**的使用者**下，輸入確切的使用者名稱，然後選擇**新增**。

1. 在**新增的使用者和群組**下，執行下列動作：

   1. 確認已指定您要授予管理許可的使用者。

   1. 選取使用者名稱左側的核取方塊。

   1. 選擇**提交**。

1. 在**管理同步**頁面中，您指定的使用者會出現在**同步範圍清單中的使用者中**。

1. 在導覽窗格中，選擇**使用者** 。

1. 在**使用者**頁面上，您指定的使用者可能需要一些時間才會出現在清單中。選擇重新整理圖示以更新使用者清單。

此時，您的使用者無法存取 管理帳戶。您將建立管理許可集，並將使用者指派給該許可集，藉此設定此帳戶的管理存取權。如需詳細資訊，請參閱[建立許可集](howtocreatepermissionset.md)。

## 使用者來自 Active Directory 時的佈建
<a name="provision-users-from-ad"></a>

IAM Identity Center 使用 提供的連線 Directory Service ，將 Active Directory 中來源目錄的使用者、群組和成員資格資訊同步到 IAM Identity Center 身分存放區。不會將密碼資訊同步至 IAM Identity Center，因為使用者身分驗證會直接從 Active Directory 中的來源目錄進行。應用程式會使用此身分資料來促進應用程式內查詢、授權和協同合作案例，而不會將 LDAP 活動傳遞回 Active Directory 中的來源目錄。

如需佈建的詳細資訊，請參閱 [使用者和群組佈建](users-groups-provisioning.md#user-group-provision)。

**Topics**
+ [使用 Active Directory 的考量事項](#considerations-ad-identitysource)
+ [連接 Active Directory 並指定使用者](get-started-connect-id-source-ad-idp-specify-user.md)
+ [使用者來自 Active Directory 時的佈建](#provision-users-from-ad)
+ [將 中的目錄 AWS Managed Microsoft AD 連接至 IAM Identity Center](connectawsad.md)
+ [將 Active Directory 中的自我管理目錄連接到 IAM Identity Center](connectonpremad.md)
+ [IAM Identity Center 與外部身分提供者目錄之間的屬性映射](attributemappingsconcept.md)
+ [IAM Identity Center 可設定的 AD 同步](provision-users-from-ad-configurable-ADsync.md)

# 將 中的目錄 AWS Managed Microsoft AD 連接至 IAM Identity Center
<a name="connectawsad"></a>

使用下列程序，將 管理 AWS Managed Microsoft AD 的 目錄連線至 AWS Directory Service IAM Identity Center。

**AWS Managed Microsoft AD 連線至 IAM Identity Center**

1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。
**注意**  
請確定 IAM Identity Center 主控台正在使用目錄 AWS Managed Microsoft AD 所在的其中一個區域，然後再移至下一個步驟。

1. 選擇**設定**。

1. 在**設定**頁面上，選擇**身分來源**索引標籤，然後選擇**動作 > 變更身分來源**。

1. 在**選擇身分來源**下，選取 **Active Directory**，然後選擇**下一步**。

1. 在**連線作用中目錄**下， AWS Managed Microsoft AD 從清單中選擇 中的目錄，然後選擇**下一步**。

1. 在**確認變更**下，檢閱資訊和就緒類型 **ACCEPT**，然後選擇**變更身分來源**。
**重要**  
若要將 Active Directory 中的使用者指定為 IAM Identity Center 中的管理使用者，您必須先將要將管理許可從 Active Directory 授予的使用者同步至 IAM Identity Center。若要啟用，請依照「[將管理使用者同步至 IAM Identity Center](get-started-connect-id-source-ad-idp-specify-user.md#sync-admin-user-from-ad)」中的步驟進行。

# 將 Active Directory 中的自我管理目錄連接到 IAM Identity Center
<a name="connectonpremad"></a>

Active Directory (AD) 中自我管理目錄中的使用者也可以在存取入口網站中擁有 AWS 帳戶 和 應用程式的單一登入 AWS 存取權。若要為這些使用者設定單一登入存取，您可以執行下列其中一項操作：
+ **建立雙向信任關係** – 在 AD 中於 AWS Managed Microsoft AD 和自我管理目錄之間建立雙向信任關係時，AD 中自我管理目錄中的使用者可以使用其公司登入資料登入各種 AWS 服務和業務應用程式。單向信任不適用於 IAM Identity Center。

  AWS IAM Identity Center 需要雙向信任，使其具有從您的網域讀取使用者和群組資訊的許可，以同步使用者和群組中繼資料。IAM Identity Center 會在指派許可集或應用程式的存取權時使用此中繼資料。應用程式也會使用使用者和群組中繼資料進行協同合作，例如當您與其他使用者或群組共用儀表板時。從 Directory Service for Microsoft Active Directory 到您網域的信任允許 IAM Identity Center 信任您的網域進行身分驗證。相反方向的信任會授予讀取使用者和群組中繼資料的 AWS 許可。

  如需設定雙向信任的詳細資訊，請參閱《 *AWS Directory Service 管理指南*》中的[何時建立信任關係](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/setup_trust.html)。
**注意**  
為了使用 AWS 應用程式，例如 IAM Identity Center 從信任的網域讀取 Directory Service 目錄使用者， Directory Service 帳戶需要信任使用者的 userAccountControl 屬性許可。如果沒有此屬性的讀取許可， AWS 應用程式就無法判斷帳戶是啟用或停用。  
建立信任時，預設會提供此屬性的讀取存取權。如果您拒絕存取此屬性 （不建議），您會讓 Identity Center 之類的應用程式無法讀取信任的使用者。解決方案是特別允許在 AWS 預留 OU （字首為 AWS\$1) 下 AWS 讀取服務帳戶上的 `userAccountControl` 屬性。
+ **建立 AD Connector** – AD Connector 是一種目錄閘道，可將目錄請求重新導向至自我管理 AD，而不會快取雲端中的任何資訊。如需詳細資訊，請參閱《 *AWS Directory Service 管理指南*》中的[連線至目錄](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_ad_connector.html)。以下是使用 AD Connector 時的考量事項：
  + 如果您要將 IAM Identity Center 連線至 AD Connector 目錄，任何未來的使用者密碼重設都必須在 AD 內完成。這表示使用者將無法從 AWS 存取入口網站重設密碼。
  + 如果您使用 AD Connector 將 Active Directory Domain Service 連線至 IAM Identity Center，IAM Identity Center 只能存取 AD Connector 連接的單一網域的使用者和群組。如果您需要支援多個網域或樹系，請將 Directory Service 用於 Microsoft Active Directory。
**注意**  
IAM Identity Center 不適用於SAMBA4-based Simple AD 目錄。

# IAM Identity Center 與外部身分提供者目錄之間的屬性映射
<a name="attributemappingsconcept"></a>

屬性映射用於映射 IAM Identity Center 中存在的屬性類型，在您的外部身分來源中具有類似的屬性，例如 Google Workspace、 Microsoft Active Directory (AD)和 Okta。IAM Identity Center 會從您的身分來源擷取使用者屬性，並將其映射至 IAM Identity Center 使用者屬性。

如果您的 IAM Identity Center 已同步使用**外部身分提供者** (IdP)Okta，例如 Google Workspace、 或 Ping做為身分來源，您將需要在 IdP 中映射屬性。

IAM Identity Center 會在其組態頁面上的**屬性映射**索引標籤下為您預先填入一組屬性。IAM Identity Center 使用這些使用者屬性來填入傳送至應用程式的 SAML 聲明 （做為 SAML 屬性）。這些使用者屬性會接著從您的身分來源擷取。每個應用程式都會決定成功單一登入所需的 SAML 2.0 屬性清單。如需詳細資訊，請參閱[將應用程式中的屬性映射至 IAM Identity Center 屬性](mapawsssoattributestoapp.md)。

如果您使用 Active Directory 做為身分來源，IAM Identity Center 也會在 **Active Directory 組態頁面**的**屬性映射**區段下為您管理一組屬性。如需詳細資訊，請參閱[在 IAM Identity Center 和Microsoft AD目錄之間映射使用者屬性](mapssoattributestocdattributes.md)。

## 支援的外部身分提供者屬性
<a name="supportedidpattributes"></a>

下表列出支援的所有外部身分提供者 (IdP) 屬性，並可映射至您可以在 IAM Identity Center [存取控制的屬性](attributesforaccesscontrol.md)中設定時使用的屬性。使用 SAML 聲明時，您可以使用 IdP 支援的任何屬性。


****  

| IdP 中支援的屬性 | 
| --- | 
| \$1\$1path:userName\$1 | 
| \$1\$1path:name.familyName\$1 | 
| \$1\$1path:name.givenName\$1 | 
| \$1\$1path:displayName\$1 | 
| \$1\$1path:nickName\$1 | 
| \$1\$1path:emails[primary eq true].value\$1 | 
| \$1\$1path:addresses[type eq "work"].streetAddress\$1 | 
| \$1\$1path:addresses[type eq "work"].locality\$1 | 
| \$1\$1path:addresses[type eq "work"].region\$1 | 
| \$1\$1path:addresses[type eq "work"].postalCode\$1 | 
| \$1\$1path:addresses[type eq "work"].country\$1 | 
| \$1\$1path:addresses[type eq "work"].formatted\$1 | 
| \$1\$1path:phoneNumbers[type eq "work"].value\$1 | 
| \$1\$1path:userType\$1 | 
| \$1\$1path:title\$1 | 
| \$1\$1path:locale\$1 | 
| \$1\$1path:timezone\$1 | 
| \$1\$1path:enterprise.employeeNumber\$1 | 
| \$1\$1path:enterprise.costCenter\$1 | 
| \$1\$1path:enterprise.organization\$1 | 
| \$1\$1path:enterprise.division\$1 | 
| \$1\$1path:enterprise.department\$1 | 
| \$1\$1path:enterprise.manager.value\$1 | 

## IAM Identity Center 與 之間的預設映射 Microsoft AD
<a name="defaultattributemappings"></a>

下表列出 IAM Identity Center 中使用者屬性與Microsoft AD目錄中使用者屬性的預設映射。IAM Identity Center 僅支援 **IAM Identity Center 中使用者屬性**欄中的屬性清單。


****  

| IAM Identity Center 中的使用者屬性  | 映射至 Active Directory 中的此屬性 | 
| --- | --- | 
| displayname | \$1\$1displayname\$1 | 
| emails[?primary].value \$1 | \$1\$1mail\$1 | 
| externalid | \$1\$1objectguid\$1 | 
| name.givenname | \$1\$1givenname\$1 | 
| name.familyname | \$1\$1sn\$1 | 
| name.middlename | \$1\$1initials\$1 | 
| sid | \$1\$1objectsid\$1 | 
| username | \$1\$1userprincipalname\$1 | 

\$1 IAM Identity Center 中的電子郵件屬性在 目錄中必須是唯一的。


****  

| IAM Identity Center 中的群組屬性  | 映射至 Active Directory 中的此屬性 | 
| --- | --- | 
| externalid | \$1\$1objectguid\$1 | 
| description | \$1\$1description\$1 | 
| displayname | \$1\$1samaccountname\$1@\$1associateddomain\$1 | 

**考量事項**
+ 啟用可設定的 AD 同步時，如果您在 IAM Identity Center 中沒有任何使用者和群組的指派，則會使用先前資料表中的預設映射。如需如何自訂這些映射的資訊，請參閱 [為您的同步設定屬性映射](manage-sync-configure-attribute-mapping-configurable-ADsync.md)。
+ 某些 IAM Identity Center 屬性無法修改，因為它們是不可變的，預設會映射到特定的 Microsoft AD 目錄屬性。

  例如，「username」是 IAM Identity Center 中的必要屬性。如果您將 "username" 對應至具有空值的 AD 目錄屬性，IAM Identity Center 會將該`windowsUpn`值視為 "username" 的預設值。如果您想要從目前的映射中變更 "username" 的屬性映射，請確認對 "username" 具有相依性的 IAM Identity Center 流程將繼續如預期運作，然後再進行變更。

## IAM Identity Center 支援的Microsoft AD屬性
<a name="supporteddirectoryattributes"></a>

下表列出支援且可映射至 IAM Identity Center 中使用者屬性的所有Microsoft AD目錄屬性。


****  

| Microsoft AD 目錄中受支援的屬性 | 
| --- | 
| \$1\$1samaccountname\$1 | 
| \$1\$1description\$1 | 
| \$1\$1objectguid\$1 | 
| \$1\$1objectsid\$1 | 
| \$1\$1givenname\$1 | 
| \$1\$1sn\$1 | 
| \$1\$1initials\$1 | 
| \$1\$1mail\$1 | 
| \$1\$1userprincipalname\$1 | 
| \$1\$1displayname\$1 | 
| \$1\$1distinguishedname\$1 | 
| \$1\$1proxyaddresses[?type == "SMTP"].value\$1 | 
| \$1\$1proxyaddresses[?type == "smtp"].value\$1 | 
| \$1\$1useraccountcontrol\$1 | 
| \$1\$1associateddomain\$1 | 

**考量事項**
+ 您可以指定支援的Microsoft AD目錄屬性的任意組合，以映射到 IAM Identity Center 中的單一可變屬性。

## 支援的 IAM Identity Center 屬性 Microsoft AD
<a name="supportedssoattributes"></a>

下表列出支援且可映射至Microsoft AD目錄中使用者屬性的所有 IAM Identity Center 屬性。設定應用程式屬性映射後，您可以使用這些相同的 IAM Identity Center 屬性來映射至該應用程式使用的實際屬性。


****  

| IAM Identity Center for Active Directory 中支援的屬性 | 
| --- | 
| \$1\$1user:AD\$1GUID\$1 | 
| \$1\$1user:AD\$1SID\$1 | 
| \$1\$1user:email\$1 | 
| \$1\$1user:familyName\$1 | 
| \$1\$1user:givenName\$1 | 
| \$1\$1user:middleName\$1 | 
| \$1\$1user:name\$1 | 
| \$1\$1user:preferredUsername\$1 | 
| \$1\$1user:subject\$1 | 

# 在 IAM Identity Center 和Microsoft AD目錄之間映射使用者屬性
<a name="mapssoattributestocdattributes"></a>

您可以使用下列程序來指定 IAM Identity Center 中的使用者屬性應如何對應至Microsoft AD目錄中的對應屬性。

**將 IAM Identity Center 中的屬性映射至目錄中的屬性**

1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。

1. 選擇**設定**。

1. 在**設定**頁面上，選擇**存取控制的屬性**索引標籤，然後選擇**管理屬性**。

1. 在**存取控制的管理屬性**頁面上，尋找您要映射的 IAM Identity Center 屬性，然後在文字方塊中輸入值。例如，您可能想要將 IAM Identity Center 使用者屬性映射**`email`**至 Microsoft AD 目錄屬性 **`${mail}`**。

1. 選擇**儲存變更**。

# IAM Identity Center 可設定的 AD 同步
<a name="provision-users-from-ad-configurable-ADsync"></a>

IAM Identity Center 可設定的 Active Directory (AD) 同步可讓您在 Microsoft Active Directory 中明確設定會自動同步至 IAM Identity Center 的身分，並控制同步程序。
+ 使用此同步方法，您可以執行下列動作：
  + 透過明確定義 Microsoft Active Directory 中自動同步至 IAM Identity Center 的使用者和群組來控制資料邊界。您可以隨時[新增使用者和群組](manage-sync-add-users-groups-configurable-ADsync.md)，或[移除使用者和群組](manage-sync-remove-users-groups-configurable-ADsync.md)以變更同步的範圍。
  + 指派同步使用者和群組對應用程式的單一登入[存取 AWS 帳戶](useraccess.md)或[存取](assignuserstoapp.md)。應用程式可以是 AWS 受管應用程式或客戶受管應用程式。
  + 視需要[暫停並繼續同步，以控制同步](manage-sync-pause-resume-sync-configurable-ADsync.md)程序。這可協助您調節生產系統的負載。

## 先決條件和考量事項
<a name="prerequisites-configurable-ADsync"></a>

在使用可設定的 AD 同步之前，請注意下列先決條件和考量事項：
+ **在 Active Directory 中指定要同步的使用者和群組**

  您必須先在 Active Directory 中指定要同步的使用者和群組，然後將新使用者和群組的存取權指派給 AWS 帳戶 AWS 受管應用程式或客戶受管應用程式，然後同步到 IAM Identity Center。
  + **可設定的 AD 同步** – IAM Identity Center 不會直接搜尋您的網域控制器中的使用者和群組。反之，您必須先指定要同步的使用者和群組清單。您可以採用下列其中一種方式來設定此清單，也稱為*同步範圍*，取決於您是否擁有已同步至 IAM Identity Center 的使用者和群組，或是您第一次使用可設定的 AD 同步來同步的新使用者和群組。
    + 現有使用者和群組：如果您的使用者和群組已同步至 IAM Identity Center，可設定 AD 同步中的同步範圍會預先填入這些使用者和群組的清單。若要指派新的使用者或群組，您必須將他們特別新增至同步範圍。如需詳細資訊，請參閱[將使用者和群組新增至您的同步範圍](manage-sync-add-users-groups-configurable-ADsync.md)。
    + 新使用者和群組：如果您想要將新使用者和群組的存取權指派給 AWS 帳戶 應用程式，您必須先在可設定的 AD 同步中指定要新增至同步範圍的使用者和群組，才能使用 IAM Identity Center 進行指派。如需詳細資訊，請參閱[將使用者和群組新增至您的同步範圍](manage-sync-add-users-groups-configurable-ADsync.md)。
+ <a name="makingassignmentsnestedgroups"></a>**在 Active Directory 中對巢狀群組進行指派**

  屬於其他群組成員的群組稱為*巢狀群組* （或子群組）。
  + **可設定的 AD 同步** – 使用可設定的 AD 同步對 Active Directory 中包含巢狀群組的群組進行指派，可能會增加有權存取 AWS 帳戶 或存取應用程式的使用者範圍。在此情況下，指派會套用至所有使用者，包括巢狀群組中的使用者。例如，如果您將存取權指派給群組 A，而群組 B 是群組 A 的成員，群組 B 的成員也會繼承此存取權。
+ **更新自動化工作流程**

  如果您有使用 IAM Identity Center 身分存放區 API 動作和 IAM Identity Center 指派 API 動作的自動化工作流程，將新使用者和群組的存取權指派給帳戶和應用程式，並將它們同步到 IAM Identity Center，則必須在 2022 年 4 月 15 日之前調整這些工作流程，以便它們以可設定的 AD 同步如預期般運作。可設定的 AD 同步會變更使用者和群組指派和佈建的順序，以及執行查詢的方式。
  + **可設定的 AD 同步** – 佈建會先發生，而且不會自動執行。相反地，您必須先將使用者和群組新增至同步範圍，以明確地將其新增至身分存放區。如需自動化可設定 AD 同步之同步組態的建議步驟相關資訊，請參閱 [自動化可設定 AD 同步的同步組態](automate-sync-configuration-configurable-ADsync.md)。

**Topics**
+ [先決條件和考量事項](#prerequisites-configurable-ADsync)
+ [可設定的 AD 同步如何運作](how-it-works-configurable-ADsync.md)
+ [為您的同步設定屬性映射](manage-sync-configure-attribute-mapping-configurable-ADsync.md)
+ [第一次 Active Directory 到 IAM Identity Center 同步設定](manage-sync-configurable-ADsync.md)
+ [將使用者和群組新增至您的同步範圍](manage-sync-add-users-groups-configurable-ADsync.md)
+ [從您的同步範圍移除使用者和群組](manage-sync-remove-users-groups-configurable-ADsync.md)
+ [暫停並繼續同步](manage-sync-pause-resume-sync-configurable-ADsync.md)
+ [自動化可設定 AD 同步的同步組態](automate-sync-configuration-configurable-ADsync.md)

# 可設定的 AD 同步如何運作
<a name="how-it-works-configurable-ADsync"></a>

IAM Identity Center 使用以下程序重新整理身分存放區中的 AD 型身分資料。若要進一步了解先決條件，請參閱 [先決條件和考量事項](provision-users-from-ad-configurable-ADsync.md#prerequisites-configurable-ADsync)。

## 建立
<a name="how-it-works-creation-configurable-ADsync"></a>

將 Active Directory 中的自我管理目錄或 AWS Managed Microsoft AD 管理的目錄連接到 IAM Identity Center Directory Service 之後，您可以明確設定要同步到 IAM Identity Center 身分存放區的 Active Directory 使用者和群組。您選擇的身分將每三小時同步到 IAM Identity Center 身分存放區。根據您的目錄大小，同步程序可能需要更長的時間。

屬於其他群組 （稱為*巢狀群組*或*子群組*) 的群組也會寫入身分存放區。

您只能在新使用者或群組同步到 IAM Identity Center 身分存放區之後，將存取權指派給新使用者或群組。

## 更新
<a name="how-it-works-update-configurable-ADsync"></a>

IAM Identity Center 身分存放區中的身分資料會定期從 Active Directory 中的來源目錄中讀取資料，以保持最新狀態。根據預設，IAM Identity Center 會在同步週期中每小時從您的 Active Directory 同步資料。根據 Active Directory 的大小，資料可能需要 30 分鐘到 2 小時才能同步到 IAM Identity Center。

在同步範圍內的使用者和群組物件及其成員資格會在 IAM Identity Center 中建立或更新，以對應至 Active Directory 中來源目錄中的對應物件。對於使用者屬性，IAM Identity Center 主控台**的存取控制屬性**區段中列出的屬性子集只會在 IAM Identity Center 中更新。您在 Active Directory 中進行的任何屬性更新可能需要一個同步週期，才能反映在 IAM Identity Center 中。

您也可以更新同步到 IAM Identity Center 身分存放區中的使用者和群組子集。您可以選擇將新使用者或群組新增至此子集，或將其移除。您新增的任何身分都會在下一次排定的同步時同步。您從子集移除的身分將停止在 IAM Identity Center 身分存放區中更新。任何未同步超過 28 天的使用者都會在 IAM Identity Center 身分存放區中停用。在下一個同步週期中，IAM Identity Center 身分存放區中會自動停用對應的使用者物件，除非它們仍屬於同步範圍的其他群組。

## 刪除
<a name="how-it-works-deletion-configurable-ADsync"></a>

從 Active Directory 的來源目錄中刪除對應的使用者或群組物件時，會從 IAM Identity Center 身分存放區刪除使用者和群組。或者，您可以使用 IAM Identity Center 主控台，從 IAM Identity Center 身分存放區明確刪除使用者物件。如果您使用 IAM Identity Center 主控台，您還必須從同步範圍中移除使用者，以確保他們不會在下一個同步週期中重新同步回 IAM Identity Center。

您也可以隨時暫停和重新啟動同步。如果您暫停同步超過 28 天，則會停用所有使用者。

# 為您的同步設定屬性映射
<a name="manage-sync-configure-attribute-mapping-configurable-ADsync"></a>

如需可用屬性的詳細資訊，請參閱 [IAM Identity Center 與外部身分提供者目錄之間的屬性映射](attributemappingsconcept.md)。

**在 IAM Identity Center 中設定屬性映射至您的目錄**

1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。

1. 選擇**設定**。

1. 在**設定**頁面上，選擇**身分來源**索引標籤，選擇**動作**，然後選擇**管理同步**。

1. 在**管理同步**下，選擇**檢視屬性映射**。

1. 在 **Active Directory 使用者屬性**下，設定 **IAM Identity Center 身分存放區屬性**和 **Active Directory 使用者屬性**。例如，您可能想要將 IAM Identity Center 身分存放區屬性映射`email`至 Active Directory 使用者目錄屬性 `${objectguid}`。
**注意**  
在**群組屬性**下，無法變更 **IAM Identity Center 身分存放區屬性**和 **Active Directory 群組屬性**。

1. 選擇**儲存變更**。這會讓您返回**管理同步**頁面。

# 第一次 Active Directory 到 IAM Identity Center 同步設定
<a name="manage-sync-configurable-ADsync"></a>

如果您是第一次將使用者和群組從 Active Directory 同步到 IAM Identity Center，請遵循下列步驟。或者，您可以遵循中所述的步驟[變更您的身分來源](manage-your-identity-source-change.md)，將身分來源從 IAM Identity Center 變更為 Active Directory。

## 引導式設定
<a name="manage-sync-guided-setup-configurable-ADsync"></a>

1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。
**注意**  
在移至下一個步驟之前，請確定 IAM Identity Center 主控台使用 AWS 區域 AWS Managed Microsoft AD 目錄所在的其中一個 。

1. 選擇**設定**。

1. 在頁面頂端的通知訊息中，選擇**開始引導式設定**。

1. 在**步驟 1 – *選用*：設定屬性映射**中，檢閱預設使用者和群組屬性映射。如果不需要變更，請選擇**下一步**。如果需要變更，請進行變更，然後選擇**儲存變更**。

1. 在**步驟 2 – *選用*：設定同步範圍**中，選擇**使用者**索引標籤。然後，輸入您要新增至同步範圍之使用者的確切使用者名稱，然後選擇**新增**。接著，選擇**群組**索引標籤。輸入您要新增至同步範圍之群組的確切群組名稱，然後選擇**新增**。然後選擇**下一步**。如果您想要稍後將使用者和群組新增至同步範圍，請不要進行任何變更，然後選擇**下一步**。

1. 在**步驟 3：檢閱並儲存組態**中，確認步驟 1：**屬性映射**中的屬性映射，以及**步驟 2：同步範圍**中的**使用者和群組**。 ****選擇 **Save configuration** (儲存組態)。這會帶您前往**管理同步**頁面。

# 將使用者和群組新增至您的同步範圍
<a name="manage-sync-add-users-groups-configurable-ADsync"></a>

**注意**  
將群組新增至同步範圍時，請直接從信任的內部部署網域同步群組，而不是從 AWS Managed Microsoft AD 網域中的群組同步群組。直接從信任網域同步的群組包含 IAM Identity Center 可以成功存取和同步的實際使用者物件。

 請依照下列步驟，將 Active Directory 使用者和群組新增至 IAM Identity Center。

**新增使用者**

1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。

1. 選擇**設定**。

1. 在**設定**頁面上，選擇**身分來源**索引標籤，選擇**動作**，然後選擇**管理同步**。

1. 在**管理同步**頁面上，選擇**使用者**索引標籤，然後選擇**新增使用者和群組**。

1. 在**使用者**索引標籤**的使用者**下，輸入確切的使用者名稱，然後選擇**新增**。

1. 在**新增的使用者和群組**下，檢閱您要新增的使用者。

1. 選擇**提交**。

1. 在導覽窗格中，選擇**使用者** 。如果您指定的使用者未顯示在清單中，請選擇重新整理圖示以更新使用者清單。

**新增群組**

1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。

1. 選擇**設定**。

1. 在**設定**頁面上，選擇**身分來源**索引標籤，選擇**動作**，然後選擇**管理同步**。

1. 在**管理同步**頁面上，選擇**群組**索引標籤，然後選擇**新增使用者和群組**。

1. 選擇 **Groups (群組)** 標籤。在**群組**下，輸入確切的群組名稱，然後選擇**新增**。

1. 在**新增的使用者和群組**下，檢閱您要新增的群組。

1. 選擇**提交**。

1. 在導覽窗格中，選擇 ** Groups (AS 安全群組)**。如果您指定的群組未顯示在清單中，請選擇重新整理圖示以更新群組清單。

# 從您的同步範圍移除使用者和群組
<a name="manage-sync-remove-users-groups-configurable-ADsync"></a>

如需從同步範圍移除使用者和群組時所發生情況的詳細資訊，請參閱 [可設定的 AD 同步如何運作](how-it-works-configurable-ADsync.md)。

**移除使用者**

1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。

1. 選擇**設定**。

1. 在**設定**頁面上，選擇**身分來源**索引標籤，選擇**動作**，然後選擇**管理同步**。

1. 選擇**使用者**索引標籤。

1. 在**同步範圍內的使用者**下，選取您要刪除之使用者旁邊的核取方塊。若要刪除所有使用者，請選取**使用者名稱**旁的核取方塊。

1. 選擇**移除**。

**移除群組**

1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。

1. 選擇**設定**。

1. 在**設定**頁面上，選擇**身分來源**索引標籤，選擇**動作**，然後選擇**管理同步**。

1. 選擇 **Groups (群組)** 標籤。

1. 在**同步範圍內的群組**下，選取您要刪除之使用者旁的核取方塊。若要刪除所有群組，請選取**群組名稱**旁的核取方塊。

1. 選擇**移除**。

# 暫停並繼續同步
<a name="manage-sync-pause-resume-sync-configurable-ADsync"></a>

暫停同步會暫停所有未來的同步週期，並防止您在 Active Directory 中對使用者和群組所做的任何變更反映在 IAM Identity Center 中。在您繼續同步後，同步週期會從下一次排定的同步中取得這些變更。

**暫停同步**

1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。

1. 選擇**設定**。

1. 在**設定**頁面上，選擇**身分來源**索引標籤，選擇**動作**，然後選擇**管理同步**。

1. 在**管理同步**下，選擇**暫停同步**。

**恢復同步**

1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。

1. 選擇**設定**。

1. 在**設定**頁面上，選擇**身分來源**索引標籤，選擇**動作**，然後選擇**管理同步**。

1. 在**管理同步**下，選擇**繼續同步**。
**注意**  
如果您看到**暫停同步**而不是**繼續同步**，則從 Active Directory 到 IAM Identity Center 的同步已恢復。

# 自動化可設定 AD 同步的同步組態
<a name="automate-sync-configuration-configurable-ADsync"></a>

為了確保自動化工作流程可如預期使用可設定的 AD 同步，建議您執行下列步驟來自動化同步組態。

**若要自動化可設定 AD 同步的同步組態**

1. 在 Active Directory 中，建立*父同步群組*，以包含您要同步至 IAM Identity Center 的所有使用者和群組。例如，您可以命名群組 *IAMIdentityCenterAllUsersAndGroups*。

1. 在 IAM Identity Center 中，將父同步群組新增至可設定的同步清單。IAM Identity Center 將同步父同步群組中包含之所有群組的所有使用者、群組、子群組和成員。

1. 使用 Microsoft 提供的 Active Directory 使用者和群組管理 API 動作，從父同步群組新增或移除使用者和群組。