通过其他地区访问员工 - Amazon IAM Identity Center
跨多个用户会话 Amazon Web Services 区域Amazon Web Services 访问主服务器和其他服务器中的门户终端节点 Amazon Web Services 区域主端点和其他端点中的 ACS 端点 Amazon Web Services 区域使用不带多个 ACS 的 Amazon 托管应用程序 URLs
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

通过其他地区访问员工

本节介绍当您在多个区域启用 IAM Identity Amazon Web Services 账户 Center 后,您的员工如何访问、和应用程序。 Amazon Web Services 访问门户

“ Amazon Web Services 访问门户 在其他区域” 中 Amazon Web Services 账户显示您的员工可以访问的和应用程序,其方式与在主要区域中相同。您的员工可以通过直接链接到区域门户终端节点(例如https://ssoins-111111h2222j33pp.eu-west-1.portal.amazonaws.com)或通过您在外部 IdP 中设置的书签应用程序登录其他区域。 Amazon Web Services 访问门户

您可以使用其他区域中的 Amazon Web Services 访问门户 终端节点来授予以 IAM 身份中心用户身份访问的权限。 Amazon CLI APIs 此功能的工作方式与在主区域中的工作方式相同。但是,不会在已启用的区域之间复制 CLI 授权。因此,您必须在每个区域单独授权 CLI。

跨多个用户会话 Amazon Web Services 区域

IAM Identity Center 将用户会话从原始区域复制到其他已启用的区域。一个区域中的会话撤消和注销也会复制到其他区域。

IAM 身份中心管理员撤销会话

IAM 身份中心管理员可以撤消其他区域的用户会话。由于会话是跨区域复制的,因此在正常情况下,撤消单个区域中的会话并让 IAM Identity Center 将更改复制到其他已启用的区域即可。如果 IAM Identity Center 的主区域出现中断,管理员可以在其他区域执行此操作。

Amazon Web Services 访问门户 主端点和其他端点 Amazon Web Services 区域

如果您需要在已启用区域的 Amazon Web Services 访问门户 URLs 中查找,请按照以下步骤操作:

  1. 打开 IAM Identity Center 控制台

  2. 在导航窗格中,选择设置

  3. 选择管理选项卡。

  4. IAM 身份中心区域部分,选择查看所有 Amazon 访问门户 URLs

下表指定了 IAM Identity Center 实例的主区域和其他区域的 Amazon Web Services 访问门户 终端节点。

Amazon Web Services 访问门户 endpoint 主 区域 其他区域 网址模式和示例
IPv4 仅限经典 1

图案:https://[Identity Store ID].awsapps.com/start

示例https://d-12345678.awsapps.com/start
IPv4 仅限自定义别名 1 是(可选)

图案:https://[custom alias].awsapps.com/start

示例https://mycompany.awsapps.com/start
IPv4 仅供选择 2 支持

图案:https://[Identity Center instance ID]. [Region].portal.amazonaws.com

示例https://ssoins-111111h2222j33pp.eu-west-1.portal.amazonaws.com
双栈 2 支持

图案:https://[Identity Center instance ID].portal. [Region].app.aws

示例https://ssoins-111111h2222j33pp.portal.eu-west-1.app.aws

1 在其他区域,不支持自定义别名,awsapps.com父域名不可用。

2 IPv4 仅限替代方案,双栈门户端点的网址/start中没有尾随字符。

主端点和附加端点中的断言消费者服务 (ACS) 端点 Amazon Web Services 区域

如果您需要查找 ACS URLs 或将其作为 SAML 元数据的一部分下载,请按照以下步骤操作:

  1. 打开 IAM Identity Center 控制台

  2. 在导航窗格中,选择设置

  3. 选择 “身份来源” 选项卡。

  4. 在 “操作” 下拉菜单中,选择 “管理身份验证”。

  5. 服务提供商元数据部分显示每个已启用区域的 Amazon Web Services 访问门户 和 ACS URL。 IPv4-only 和 dual-stack 显示 URLs 在相应的选项卡中。如果您的 IdP 支持上传 SAML 元数据文件,则可以选择下载元数据文件来下载所有 ACS 的 SAML 元数据文件。 URLs如果不支持此功能,或者您希望单独添加它们,则可以从表格中复制单个文件,或者选择 “查看 ACS”, URLs然后选择 “全部复制” URLs。

下表指定了 IAM Identity Center 实例的主区域和其他区域的 SAML 断言消费者服务 (ACS) 终端节点:

ACS 端点 主 区域 其他区域 网址模式和示例
IPv4 只有 支持

图案:https://[Region].signin.aws/platform/saml/acs/[Tenant ID]

示例 https://us-west-2.signin.aws/platform/saml/acs/1111111111111111-aaee-ffff-dddd-11111111111
IPv4 仅限备选*

图案:https://[Region] .signin.aws.amazon.com/platform/saml/acs/[Tenant ID]

示例 https://us-west-2.signin.aws.amazon.com/platform/saml/acs/1111111111111111-aaee-ffff-dddd-11111111111
双堆栈 支持

图案:https://[Region].sso.signin.aws/platform/saml/acs/[Tenant ID]

示例 https://us-west-2.sso.signin.aws/platform/saml/acs/1111111111111111-aaee-ffff-dddd-11111111111

*IAM Identity Center 不再将此终端节点用于从 2026 年 2 月开始创建的实例。虽然此终端节点仍可用于较早的实例,但我们建议改用其他两个终端节点之一。

使用不带多个 ACS 的 Amazon 托管应用程序 URLs

一些外部身份提供商 (IdPs) URLs 在其 IAM Identity Center 应用程序中不支持多重断言消费者服务 (ACS)。多 URLs 个 ACS 是一项 SAML 功能,需要在多区域 IAM 身份中心中直接登录特定区域。

例如,如果您通过应用程序链接启动 Amazon 托管应用程序,则系统会通过该应用程序连接的 IAM 身份中心区域触发登录。但是,如果未在外部 IdP 中配置该区域的 ACS URL,则登录将失败。

要解决此问题,请与您的 IdP 供应商合作,启用对多个 ACS 的支持。 URLs同时,您仍然可以在其他区域使用 Amazon 托管应用程序。首先,登录在外部 IdP 中配置 ACS URL 的区域(默认为主区域)。在 IAM Identity Center 中激活会话后,您可以从任何已启用区域的 Amazon Web Services 访问门户或通过应用程序链接启动应用程序。