本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
连接到外部身份提供商
如果您使用的是 Active Directory 或中的自管理目录 Amazon Managed Microsoft AD,请参阅连接到 Microsoft AD 目录。对于其他外部身份提供商 (IdPs),您可以使用 Amazon IAM Identity Center IdPs 通过安全断言标记语言 (SAML) 2.0 标准对身份进行身份验证。这使您的用户能够使用其公司凭据登录 Amazon Web Services 访问门户。然后,他们可以导航到为其分配的帐户、角色和托管在外部的应用程序 IdPs。
例如,您可以将 Okta 或 Microsoft Entra ID 等外部 IdP 连接到 IAM Identity Center。然后,您的用户可以使用其现有Okta或Microsoft Entra ID凭据登录 Amazon Web Services 访问门户。要控制用户登录后可以执行的操作,您可以集中为他们分配 Amazon 组织中所有账户和应用程序的访问权限。此外,开发人员只需使用其现有凭证登录 Amazon Command Line Interface (Amazon CLI),即可从自动生成和轮换短期凭证中受益。
SAML 协议不提供查询 IdP 以了解用户和组的方法。因此,您必须通过将这些用户和组预置到 IAM Identity Center 来使 IAM Identity Center 了解这些用户和组。
当用户来自外部 IdP 时进行预置
使用外部 IdP 时,必须先将所有适用的用户和群组配置到 IAM Identity Center 中,然后才能对 Amazon Web Services 账户 或应用程序进行任何分配。为此,您可以为用户和组配置 自动预置,也可以使用 手动预置。无论您如何配置用户,IAM Identity Center 都会将命令行界面和应用程序身份验证重定向到您的外部 IdP。 Amazon Web Services Management Console然后,IAM Identity Center 根据您在 IAM Identity Center 中创建的策略授予对这些资源的访问权限。有关预置的更多信息,请参阅 用户和组预调配。
如何连接到外部身份提供商
以下是针对支持的 step-by-step 教程 IdPs:
对于不同的支持的外部设备,有不同的先决条件、注意事项和配置程序 IdPs。下方概述了所有外部身份提供商使用的过程。
要连接到外部身份提供商
-
选择设置。
-
在设置页面上,选择身份源选项卡,然后选择操作>更改身份源。
-
在选择身份来源 下,选择外部身份提供程序,然后选择下一步。
-
在配置外部身份提供商下,执行以下操作:
-
在服务提供商元数据下,选择下载元数据文件以下载元数据文件并将其保存在您的系统上。您的外部身份提供商需要 IAM Identity Center SAML 元数据文件。
-
在身份提供程序元数据下,选择选择文件,然后找到从外部身份提供程序下载的元数据文件。然后上传该文件。此元数据文件包含用于信任从 IdP 发送的消息所需的公共 x509 证书。
-
选择下一步。
重要
将源更改为 Active Directory 或从 Active Directory 更改源会删除所有现有的用户和组分配。成功更改来源后,您必须手动重新应用分配。
-
-
阅读免责声明并准备继续操作后,输入 ACCEPT。
-
选择更改身份源。状态消息将通知您,您已成功更改身份源。