在 IAM 身份中心确认您的身份来源 - Amazon IAM Identity Center
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 IAM 身份中心确认您的身份来源

您在 IAM Identity Center 中的身份源定义了用户和组的管理位置。启用 IAM Identity Center 后,请确认您使用的是您选择的身份源。

确认身份源
  1. 打开 IAM Identity Center 控制台

  2. 在 “控制面板” 页面的 “推荐的设置步骤” 部分下方,选择 “确认您的身份来源”。您也可以通过选择设置,然后选择身份源选项卡,访问此页面。

  3. 如果您想保留已分配的身份源,则无需执行任何操作。如果您想对其进行更改,请选择 “操作”,然后选择 “更改身份来源”。

    您可以选择以下一个选项作为身份源:

    Identity Center 目录

    首次启用 IAM Identity Center 后,它会自动配置 Identity Center 目录作为您的默认身份源。如果您尚未使用其他外部身份提供商,您可以开始创建用户和组,并为其分配对 Amazon Web Services 账户 和应用程序的访问权限级别。有关使用此身份源的教程,请参阅 使用默认 IAM Identity Center 目录配置用户访问权限

    Active Directory

    如果您已经在使用 Amazon Directory Service 或中的自管理 Amazon Managed Microsoft AD 目录中管理用户和群组Active Directory (AD),我们建议您在启用 IAM Identity Center 时连接该目录。请勿在默认的 Identity Center 目录中创建任何用户和组。IAM Identity Center 使用提供的连接将用户、群组和成员资格信息从 Active Directory 中的源目录同步到 IAM 身份中心身份存储。 Amazon Directory Service 有关更多信息,请参阅 连接到 Microsoft AD 目录

    注意

    IAM Identity Center 不支持基于 SAMBA4 的 Simple AD 作为身份源。

    外部身份提供商

    对于外部身份提供商 (IdPs),例如Okta或Microsoft Entra ID,您可以使用 IAM Identity Center IdPs 通过安全断言标记语言 (SAML) 2.0 标准对身份进行身份验证。SAML 协议不提供查询 IdP 以了解用户和组的方法。您可以通过将这些用户和组预置到 IAM Identity Center,使 IAM Identity Center 了解这些用户和组。在 IdP 支持的情况下,您可以使用跨域身份管理 (SCIM) v2.0 协议系统将用户和组的信息从 IdP 自动预置(同步)到 IAM Identity Center。如果不支持,您可以在 IAM Identity Center 手动输入用户名、电子邮件地址和组,手动预置用户和组。

    有关设置身份源的详细说明,请参阅入门教程

    注意

    如果您计划使用外部身份提供商,请注意将由外部 IdP(而不是 IAM Identity Center)管理多重身份验证 (MFA) 设置。外部身份提供商不支持使用 IAM 身份中心中的 MFA。有关更多信息,请参阅 提示用户完成 MFA

    您选择的身份源决定 IAM Identity Center 在何处搜索需要单点登录访问的用户和组。确认或更改身份源后,您将创建或指定用户,并为其分配对 Amazon Web Services 账户的管理权限。

重要

如果您已经在管理外部身份提供商中的Active Directory用户和群组,我们建议您在启用 IAM Identity Center 并选择您的身份源时考虑连接此身份源。在默认 Identity Center 目录中创建任何用户和组并进行任何分配之前,应先完成此操作。

如果您已经在 IAM Identity Center 中的一个身份源中管理用户和组,则更改为其他身份源可能会移除您在 IAM Identity Center 中配置的所有用户和组分配。如果发生这种情况,所有用户(包括 IAM Identity Center 中的管理用户)都将失去对其 Amazon Web Services 账户 和应用程序的单点登录访问权限。有关更多信息,请参阅 更改身份源的注意事项

配置身份源后,您可以查找用户或群组,向他们授予对云应用程序或两者的单点登录访问权限。 Amazon Web Services 账户