通过 Microsoft Entra ID 和 IAM Identity Center 配置 SAML 和 SCIM - Amazon IAM Identity Center
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

通过 Microsoft Entra ID 和 IAM Identity Center 配置 SAML 和 SCIM

Amazon IAM Identity Center 支持与安全断言标记语言 (SAML) 2.0 集成,以及使用跨域身份管理系统 (SCIM) 2.0 协议将 Microsoft Entra ID(以前称为 Azure Active Directory 或 Azure AD)中的用户和组信息自动预置(同步)到 IAM Identity C enter。

目标

在本教程中,您将设置测试实验室,并配置 Microsoft Entra ID 和 IAM Identity Center 之间的 SAML 连接和 SCIM 预置。在最初的准备步骤中,您将在 Microsoft Entra ID 和 IAM Identity Center 中创建一名测试用户 (Nikki Wolf),用于双向测试 SAML 连接。稍后,作为 SCIM 步骤的一部分,您将创建一个不同的测试用户 (Richard Roe),以验证 Microsoft Entra ID 中的新属性是否按预期同步到 IAM Identity Center。

在开始本教程之前,您首先需要设置以下方面:

  • Microsoft Entra ID 租户。有关详细信息,请参阅 Microsoft 网站上的快速入门:设置租户

  • 已启用 Amazon IAM Identity Center 的账户。有关更多信息,请参阅 Amazon IAM Identity Center 用户指南中的启用 IAM Identity Center

在本步骤中,您将了解如何安装和配置 Amazon IAM Identity Center 企业应用程序并为新创建的 Microsoft Entra ID 测试用户分配访问权限。

Step 1.1 >

步骤 1.1:在 Microsoft Entra ID 中设置 Amazon IAM Identity Center 企业应用程序

在此过程中,您将在 Amazon IAM Identity Center 中安装 Microsoft Entra ID 企业应用程序。稍后您将需要通过此应用程序配置与 Amazon 的 SAML 连接。

  1. 至少以云应用程序管理员的身份登录 Microsoft Entra 管理中心

  2. 导航到身份 > 应用程序 > 企业应用程序,然后选择新应用程序

  3. 浏览 Microsoft Entra Gallery页面上,在搜索框中输入 Amazon IAM Identity Center

  4. 从结果区域中选择 Amazon IAM Identity Center

  5. 选择创建

Step 1.2 >

步骤 1.2:在 Microsoft Entra ID 中创建测试用户

Nikki Wolf 是您在此过程中创建的 Microsoft Entra ID 测试用户姓名。

  1. Microsoft Entra 管理中心控制台,导航到身份 > 用户 > 所有用户

  2. 选择新用户,然后选择屏幕顶部的创建新用户

  3. 用户主体名称中,输入 NikkiWolf,然后选择您喜欢的域和扩展。例如,NikkiWolf@example.org

  4. 显示名称中,输入 NikkiWolf

  5. 密码中输入高强度密码,或选择眼睛图标,显示自动生成的密码,然后复制或写下显示的值。

  6. 选择属性,在名字中输入 Nikki。在姓氏中,输入 Wolf

  7. 选择审核并创建,然后选择创建

Step 1.3

步骤 1.3:在为 Nikki 分配 Amazon IAM Identity Center 的权限之前测试其体验

在此过程中,您将验证 Nikki 可以成功登录其 Microsoft 我的账户门户中的哪些内容。

  1. 在同一个浏览器中打开新标签页,前往我的账户门户登录页面,然后输入 Nikki 的完整电子邮件地址。例如,NikkiWolf@example.org

  2. 出现提示时,输入 Nikki 的密码,然后选择登录。如果密码是自动生成的,系统将提示您更改密码。

  3. 需要执行的操作页面,选择稍后询问,绕过关于其他安全方法的提示。

  4. 我的账户页面的左侧导航栏中,选择我的应用程序。请注意,除加载项外,此时不会显示任何应用程序。您将添加一个 Amazon IAM Identity Center 应用程序,在稍后的步骤中,其将显示在此处。

Step 1.4

步骤 1.4:在 Microsoft Entra ID 中向 Nikki 分配权限

现在您已验证 Nikki 可以成功访问我的账户门户,请使用此过程将其用户分配至 Amazon IAM Identity Center 应用程序。

  1. Microsoft Entra 管理中心控制台,导航到身份 > 应用程序 > 企业应用程序,然后从列表中选择 Amazon IAM Identity Center

  2. 在左侧,选择用户和组

  3. 选择添加用户/组。您可以忽略组不可用于分配的消息。此教程不使用组进行分配。

  4. 添加分配页面,在用户下选择未选择任何对象

  5. 选择 NikkiWolf,然后选择选择

  6. 添加分配页面,选择分配。现在,NikkiWolf 出现在分配给 Amazon IAM Identity Center 应用程序的用户列表中。

在本步骤中,您将了解如何使用 IAM Identity Center 配置访问权限(通过权限集),手动创建相应的 Nikki Wolf 用户,并为其分配管理 Amazon 资源所需的权限。

Step 2.1 >

步骤 2.1:在 IAM Identity Center 中创建 RegionalAmin 权限集

此权限集将用于向 Nikki 授予必要的 Amazon 账户权限,以便其从 Amazon Web Services Management Console 的账户页面管理区域。默认将拒绝其他所有查看或管理 Nikki 账户其他任何信息的权限。

  1. 打开 IAM Identity Center 控制台

  2. 多账户权限下,选择权限集

  3. 选择创建权限集

  4. 选择权限集类型页面,选择自定义权限集,然后选择下一步

  5. 选择内联策略,将其展开,然后使用以下步骤为权限集创建策略:

    1. 选择添加新声明,以创建策略语句。

    2. 编辑语句下,从列表中选择账户,然后选中以下复选框。

      • ListRegions

      • GetRegionOptStatus

      • DisableRegion

      • EnableRegion

    3. 添加资源旁边,选择添加

    4. 添加资源页面的资源类型下,选择所有资源,然后选择添加资源。验证您的策略是否如下所示:

      {
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "account:ListRegions",
                "account:DisableRegion",
                "account:EnableRegion",
                "account:GetRegionOptStatus"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

  6. 选择下一步

  7. 指定权限集详细信息页面的权限集名称下,输入 RegionalAdmin,然后选择下一步

  8. 审核和创建页面,选择创建。您应该会看到 RegionalAdmin 显示在权限集列表中。

Step 2.2 >

步骤 2.2:在 IAM Identity Center 中创建相应的 NikkiWolf 用户

由于 SAML 协议不提供查询 IdP (Microsoft Entra ID) 并在 IAM Identity Center 自动创建用户的机制,因此请使用以下过程在 IAM Identity Center 手动创建同步了 Microsoft Entra ID 中 Nikki Wolfs 用户核心属性的用户。

  1. 打开 IAM Identity Center 控制台

  2. 选择用户,选择添加用户,然后提供以下信息:

    1. 对于用户名电子邮件地址 - 输入创建 Microsoft Entra ID 用户时使用的 NikkiWolf@yourcompanydomain.extension。例如,NikkiWolf@example.org

    2. 确认电子邮件地址 - 重新输入上一步中的电子邮件地址

    3. 名字 - 输入 Nikki

    4. 姓氏 - 输入 Wolf

    5. 显示名称 – 输入 Nikki Wolf

  3. 选择两次下一步,然后选择添加用户

  4. 选择关闭

Step 2.3

步骤 2.3:在 IAM Identity Center 中将 Nikki 分配至 RegionalAdmin 权限集

在这里,您可以找到 Nikki 所管理区域中的 Amazon Web Services 账户,然后为其分配成功访问 Amazon Web Services 门户所需的必要权限。

  1. 打开 IAM Identity Center 控制台

  2. 多账户权限下,选择 Amazon Web Services 账户

  3. 在要授予 Nikki 管理区域权限的账户名称(例如沙盒)旁边,选择复选框,然后选择分配用户和组

  4. 分配用户和组页面,选择用户选项卡,找到并选中 Nikki 旁边的复选框,然后选择下一步

在此步骤中,您将使用 Microsoft Entra ID 中的 Amazon IAM Identity Center 企业应用程序以及 IAM Identity Center 中的外部 IdP 设置来配置 SAML 连接。

Step 3.1 >

步骤 3.1:从 IAM Identity Center 收集所需的服务提供商元数据

在此步骤中,您将从 IAM Identity Center 控制台启动更改身份源向导,并检索元数据文件和 Amazon 的特定登录 URL(在下一步配置与 Microsoft Entra ID 的连接时需要输入)。

  1. IAM Identity Center 控制台中,选择设置

  2. 设置页面上,选择身份源选项卡,然后选择操作>更改身份源

  3. 选择身份源页面,选择外部身份提供商,然后选择下一步

  4. 配置外部身份提供商页面的服务提供商元数据下,选择下载元数据文件,以将其下载到您的系统中。

  5. 在同一部分,找到 Amazon Web Services 访问门户登录 URL 的值,并复制它。在下一步出现提示时,您需要输入该值。

  6. 将此页面保持为打开状态,然后进入下一步(Step 3.2),在 Microsoft Entra ID 中配置 Amazon IAM Identity Center 企业应用程序。稍后,您将返回此页面,完成整个过程。

Step 3.2 >

步骤 3.2:在 Microsoft Entra ID 中配置 Amazon IAM Identity Center 企业应用程序

此过程使用您在上一步获得的元数据文件和登录 URL 的值,在 Microsoft 端完成一半的 SAML 连接设置。

  1. Microsoft Entra 管理中心控制台,导航到身份 > 应用程序 > 企业应用程序,然后选择 Amazon IAM Identity Center

  2. 在左侧,选择单点登录

  3. 使用 SAML 设置单点登录页面,选择上传元数据文件,选择文件夹图标,选择您在上一步中下载的服务提供商元数据文件,然后选择添加

  4. 基本 SAML 配置页面,验证标识符回复 URL 的值现在是否都指向 Amazon 中以 https://<REGION>.signin.aws.amazon.com/platform/saml/ 开头的端点。

  5. 登录 URL(可选)下,粘贴您在上一步(Step 3.1)复制的 Amazon Web Services 访问门户登录 URL 值,选择保存,然后点击 X 关闭窗口。

  6. 如果提示测试 Amazon IAM Identity Center 的单点登录,选择不,我稍后再测试。您将在稍后的步骤中进行此项验证。

  7. 使用 SAML 设置单点登录页面的 SAML 证书部分,在联合身份验证元数据 XML 旁边,选择下载,将元数据文件保存到您的系统中。在下一步出现提示时,您需要上传此文件。

Step 3.3 >

步骤 3.3:在 Amazon IAM Identity Center 配置 Microsoft Entra ID 外部 IdP

在这里,您将返回到 IAM Identity Center 控制台的更改身份源向导,完成 Amazon 中 SAML 连接设置的后半部分。

  1. 返回在 Step 3.1 中,您在 IAM Identity Center 控制台中保留为打开状态的浏览器会话。

  2. 配置外部身份提供商页面的身份提供商元数据部分,选择 IdP SAML 元数据下的选择文件按钮,然后选择您在上一步从 Microsoft Entra ID 下载的身份提供商元数据文件,然后选择打开

  3. 选择下一步

  4. 在阅读免责声明并准备继续操作后,输入 ACCEPT

  5. 选择更改身份源,以应用您的更改。

Step 3.4 >

步骤 3.4:测试 Nikki 是否被重定向到 Amazon Web Services 访问门户

在此过程中,您将使用 Nikki 的凭证登录 Microsoft 的我的账户门户,测试 SAML 连接。通过身份验证后,选择会将 Nikki 重定向到 Amazon Web Services 访问门户的 Amazon IAM Identity Center 应用程序。

  1. 前往我的账户门户登录页面,输入 Nikki 的完整电子邮件地址。例如,NikkiWolf@example.org

  2. 出现提示时,输入 Nikki 的密码,然后选择登录

  3. 我的账户页面的左侧导航栏中,选择我的应用程序

  4. 我的应用程序页面,选择名为 Amazon IAM Identity Center 的应用程序。这应该会提示您进行额外的身份验证。

  5. 在 Microsoft 的登录页面,选择您的 NikkiWolf 凭证。如果再次提示您进行身份验证,请再次选择您的 NikkiWolf 凭证。这应该会自动将您重定向到 Amazon Web Services 访问门户。

    提示

    如果您未成功重定向,请进行检查,确保您在 Step 3.2 中输入的 Amazon Web Services 访问门户登录 URL 的值与您在 Step 3.1 中复制的值相匹配。

  6. 确认是否显示 Amazon 账户图标

    提示

    如果页面为空,且未显示 Amazon 账户图标,请确认是否已成功将 Nikki 分配给 RegionalAdmin 权限集(请参阅 Step 2.3)。

Step 3.5

步骤 3.5:测试 Nikki 对于管理其 Amazon Web Services 账户 的访问权限级别

在此步骤中,您将进行检查,以确定 Nikki 对于管理其 Amazon Web Services 账户 区域设置的访问权限级别。Nikki 应该只有刚好足够的管理员权限,可从账户页面管理区域。

  1. 在 Amazon Web Services 访问门户中,选择 Amazon 账户图标 ,以展开账户列表。选择该图标后,对于您在其中定义了权限集的任何账户,其账户名称、账户 ID 和与之关联的电子邮件地址都将显示出来。

  2. 选择对其应用了权限集的账户名称,例如沙盒(请参阅 Step 2.3)。这将展开权限集列表,Nikki 可以从中选择,以管理其账户。

  3. RegionalAdmin 旁边,选择管理控制台,以担任您在 RegionalAdmin 权限集中定义的角色。这会将您重定向至 Amazon Web Services Management Console 主页。

  4. 在控制台的右上角,选择您的账户名称,然后选择账户。您将进入账户页面。请注意,此页面上的所有其他部分都会显示一条消息,说明您没有查看或修改这些设置的必要权限。

  5. 账户页面,向下滚动至 Amazon 区域部分。选中表格中任何可用区域的复选框。注意 Nikki 确实拥有必要的权限,可按预期为其账户启用禁用区域列表。

做得不错!

步骤 1 到步骤 3 帮助您成功实施并测试了 SAML 连接。现在,我们建议您继续执行步骤 4,实现自动预置,以完成本教程。

在此步骤中,您将使用 SCIM v2.0 协议,设置将用户信息从 Microsoft Entra ID 自动预置(同步)到 IAM Identity Center。您可以使用 IAM Identity Center 的 SCIM 终端节点和 IAM Identity Center 自动创建的持有者令牌在 Microsoft Entra ID 中配置此连接。

配置 SCIM 同步时,您将创建从 Microsoft Entra ID 中的用户属性到 IAM Identity Center 中的命名属性的映射。这会导致 IAM Identity Center 和 Microsoft Entra ID 之间的预期属性匹配。

以下步骤将指导您使用 Microsoft Entra ID 中的 IAM Identity Center 应用程序,实现将主要驻留在 Microsoft Entra ID 中的用户自动预置到 IAM Identity Center。

Step 4.1 >

步骤 4.1:在 Microsoft Entra ID 中创建第二名测试用户

出于测试目的,您将在 Microsoft Entra ID 中创建新用户 (Richard Roe)。稍后,在设置 SCIM 同步后,您将测试此用户和所有相关属性是否已成功同步到 IAM Identity Center。

  1. Microsoft Entra 管理中心控制台,导航到身份 > 用户 > 所有用户

  2. 选择新用户,然后选择屏幕顶部的创建新用户

  3. 用户主体名称中,输入 RichRoe,然后选择您喜欢的域和扩展。例如,RichRoe@example.org

  4. 显示名称中,输入 RichRoe

  5. 密码中输入高强度密码,或选择眼睛图标,显示自动生成的密码,然后复制或写下显示的值。

  6. 选择属性,然后提供以下值:

    • 名字 - 输入 Richard

    • 姓氏 - 输入 Roe

    • 职位名称 - 输入 Marketing Lead

    • 部门 - 输入 Sales

    • 员工 ID - 输入 12345

  7. 选择审核并创建,然后选择创建

Step 4.2 >

步骤 4.2:在 IAM Identity Center 启用自动预置

在此过程中,您将使用 IAM Identity Center 控制台,实现将 Microsoft Entra ID 中的用户和组自动预置到 IAM Identity Center。

  1. 打开 IAM Identity Center 控制台,在左侧导航窗格中选择设置

  2. 设置页面的身份源选项卡下,请注意预置方法已设置为手动

  3. 找到自动预置信息框,然后选择启用。这会立即在 IAM Identity Center 中启用自动预置,并显示必要的 SCIM 端点和访问令牌信息。

  4. 入站自动预置对话框中,复制以下选项的每个值。下一步在 Microsoft Entra ID 中配置预置时,您需要粘贴这些值。

    1. SCIM 端点 - 例如,https://scim.us-east-2.amazonaws.com/11111111111-2222-3333-4444-555555555555/scim/v2/

    2. 访问令牌 - 选择显示令牌以复制该值。

  5. 选择关闭

  6. 身份源选项卡下,请注意预置方法现在设置为 SCIM

Step 4.3 >

步骤 4.3:在 Microsoft Entra ID 中配置自动预置

现在,您的 RichRoe 测试用户已就位,并且在 IAM Identity Center 启用了 SCIM,您可以继续在 Microsoft Entra ID 中配置 SCIM 同步设置。

  1. Microsoft Entra 管理中心控制台,导航到身份 > 应用程序 > 企业应用程序,然后选择 Amazon IAM Identity Center

  2. 选择预置,在管理下,再次选择预置

  3. 预置模式下,选择自动

  4. 管理员凭证下的租户 URL 中,粘贴您之前在 Step 4.1 中复制的 SCIM 端点 URL 值。在密钥令牌中,粘贴访问令牌的值。

  5. 选择测试连接。您应该会看到一条消息,表明经过测试的凭证已成功得到授权,可以启用预置。

  6. 选择保存

  7. 管理下,选择用户和组,然后选择添加用户/组

  8. 添加分配页面,在用户下选择未选择任何对象

  9. 选择 RichRoe,然后选择选择

  10. 添加分配页面,选择分配

  11. 选择概述,然后选择开始预置

Step 4.4

步骤 4.4:验证是否已进行同步

在本节中,您将验证 Richard 的用户是否已成功预置,并且所有属性均显示在 IAM Identity Center 中。

  1. IAM Identity Center 控制台中,选择用户

  2. 用户页面,您应该会看到显示了 RichRoe 用户。请注意,在创建者列,值将设置为 SCIM

  3. 选择 RichRoe,在配置文件下,验证是否从 Microsoft Entra ID 复制了以下属性。

    • 名字 - Richard

    • 姓氏 - Roe

    • 部门 - Sales

    • 职位 - Marketing Lead

    • 员工编号 - 12345

    现在,Richard 的用户已在 IAM Identity Center 中创建,您可以将其分配给任何权限集,这样您就可以控制他对您 Amazon 资源的访问权限级别。例如,您可以将 RichRoe 分配给之前用于授予 Nikki 管理区域权限的 RegionalAdmin 权限集(请参阅 Step 2.3),然后使用 Step 3.5 测试他的访问权限级别。

恭喜您!

您已成功在 Microsoft 和 Amazon 之间建立了 SAML 连接,并验证了自动预置可以正常运作,确保一切同步。现在,您可以运用所学到的方法,更顺利地设置生产环境。

以下是有关 Microsoft Entra ID 的重要注意事项,它们将影响您计划如何在生产环境中使用 SCIM v2 协议通过 IAM Identity Center 实施自动预置

注意

在开始部署 SCIM 之前,我们建议您首先查看 使用自动预置的注意事项

访问控制属性

访问控制属性用于确定身份源中的哪些人可以访问 Amazon 资源的权限策略。如果在 Microsoft Entra ID 中从用户中删除属性,则不会从 IAM Identity Center 中的相应用户中删除该属性。这是 Microsoft Entra ID 中已知的限制。如果用户的属性更改为不同的(非空)值,则该更改将同步到 IAM Identity Center。

嵌套组

Microsoft Entra ID 用户预置服务无法读取或预置嵌套组中的用户。只能读取和配置属于明确分配组的直接成员的用户。Microsoft Entra ID 不会以递归方式解包间接分配的用户或组(属于直接分配的组的成员的用户或组)的组成员身份。有关更多信息,请参阅 Microsoft Entra ID 文档中的基于分配的范围界定

动态组

Microsoft Entra ID 用户预置服务可以读取和预置动态组中的用户。请参阅下面的示例,该示例显示使用动态组时的用户和组结构以及它们在 IAM Identity Center 中的显示方式。这些用户和组通过 SCIM 从 Microsoft Entra ID 配置到 IAM Identity Center

例如,如果动态组的 Microsoft Entra ID 结构如下:

  1. A 组,成员 ua1、ua2

  2. B 组,成员 ub1

  3. C 组,成员 uc1

  4. K组规则包括 A、B、C 组成员

  5. L 组,规则包括 B 组和 C 组成员

将 Microsoft Entra ID 中的用户和组信息通过 SCIM 配置到 IAM Identity Center 后,结构如下:

  1. A 组,成员 ua1、ua2

  2. B 组,成员 ub1

  3. C 组,成员 uc1

  4. K 组,成员 ua1、ua2、ub1、uc1

  5. L组,成员 ub1、uc1

使用动态组配置自动预置时,请记住以下注意事项。

  • 动态组可以包括嵌套组。但是,Microsoft Entra ID 预置服务不会扁平化嵌套组。例如,如果您具有以下动态组 Microsoft Entra ID 结构:

    • A 组是 B 组的父组。

    • A 组有 ua1 成员。

    • B 组有 ub1 作为成员。

包含组 A 的动态组将仅包含组 A 的直接成员(即 ua1)。它不会以递归方式包含 B 组的成员。

  • 动态组不能包含其他动态组。有关更多信息,请参阅 Microsoft Entra ID 文档中的预览限制

如果您遇到 Microsoft Entra ID 用户未同步到 IAM Identity Center 的问题,可能是由于在向 IAM Identity Center 添加新用户时,IAM Identity Center 已经标记的语法问题。您可以通过检查 Microsoft Entra ID 审核日志中的失败事件(例如 'Export')来确认这一点。此事件的状态原因将说明:

{"schema":["urn:ietf:params:scim:api:messages:2.0:Error"],"detail":"Request is unparsable, syntactically incorrect, or violates schema.","status":"400"}

您还可以检查 Amazon CloudTrail 来查找失败事件。这可以通过使用以下过滤器在 CloudTrail 的事件历史记录控制台中搜索来完成:

"eventName":"CreateUser"

CloudTrail 事件中的错误将说明以下内容:

"errorCode": "ValidationException",
        "errorMessage": "Currently list attributes only allow single item“

最终,此异常意味着从 Microsoft Entra ID 传递的值之一包含的值比预期多。这里的解决方案是检查 Microsoft Entra ID 中用户的属性,确保不包含重复值。重复值的一个常见示例是,联系电话(例如手机工作电话和传真)存在多个值。尽管是单独的值,但它们都会在单父属性 phoneNumbers 下传递到 IAM Identity Center。

有关故障排除提示,请参阅 排查 IAM Identity Center 问题

现在,您已成功配置了 SAML 和 SCIM,可以选择配置基于属性的访问权限控制 (ABAC)。ABAC 是一种基于属性定义权限的授权策略。

通过 Microsoft Entra ID,您可以使用以下两种方法中的任何一种配置 ABAC,与 IAM Identity Center 配合使用。

Method 1

方法 1:在 Microsoft Entra ID 中配置用户属性,用于实现 IAM Identity Center 中的访问控制

在以下步骤中,您将确定 IAM Identity Center 应使用 Microsoft Entra ID 中的哪些属性管理对 Amazon 资源的访问权限。定义后,Microsoft Entra ID 通过 SAML 断言将这些属性发送到 IAM Identity Center。然后,您需要在 IAM Identity Center 中 创建权限集 根据您从 Microsoft Entra ID 传递的属性来管理访问权限。

在开始此过程之前,您首先需要启用 访问控制属性 功能。有关此操作的详细信息,请参阅 启用并配置访问控制属性

  1. Microsoft Entra 管理中心控制台,导航到身份 > 应用程序 > 企业应用程序,然后选择 Amazon IAM Identity Center

  2. 选择 Single sign-on(单点登录)。

  3. 属性和声明部分,选择编辑

  4. 属性和声明页面,执行以下操作:

    1. 选择添加新声明

    2. 对于名称,请输入 AccessControl:AttributeName。将 AttributeName 替换为您在 IAM Identity Center 中期望的属性名称。例如,AccessControl:Department

    3. 对于 Namespace (命名空间),请输入 https://aws.amazon.com/SAML/Attributes

    4. 对于 Source (源),请选择 Attribute (属性)

    5. 对于来源属性,使用下拉列表选择 Microsoft Entra ID 用户属性。例如,user.department

  5. 对需要在 SAML 断言中发送到 IAM Identity Center 的每个属性重复上一步。

  6. 选择保存

Method 2

方法 2:使用 IAM Identity Center 配置 ABAC

通过此方法,您可以使用 IAM Identity Center 中的 访问控制属性 功能来传递 Name 属性设置为 https://aws.amazon.com/SAML/Attributes/AccessControl:{TagKey}Attribute 元素。您可以使用此元素将属性作为 SAML 断言中的会话标记传递。有关会话标签的更多信息,请参阅 IAM 用户指南在 Amazon STS 中的传递会话标签

要将属性作为会话标签传递,请包含指定标签值的 AttributeValue 元素。例如,要传递标签键值对 CostCenter = blue,请使用以下属性:

<saml:AttributeStatement>
<saml:Attribute Name="https://aws.amazon.com/SAML/Attributes/AccessControl:CostCenter">
<saml:AttributeValue>blue
</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>

如果您需要添加多个属性,请为每个标签包含一个单独的 Attribute 元素。