自动预置 - Amazon IAM Identity Center
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

自动预置

IAM Identity Center 支持使用跨域身份管理系统 (SCIM) v2.0 协议将用户和组信息从身份提供商 (IdP) 自动预置(同步)到 IAM Identity Center。配置 SCIM 同步时,您可以创建身份提供商 (IdP) 用户属性到 IAM Identity Center 中的命名属性的映射。这会导致 IAM Identity Center 和您的 IdP 之间的预期属性匹配。您可以使用 IAM Identity Center 的 SCIM 端点和您在 IAM Identity Center 中创建的持有者令牌,在 IdP 中配置此连接。

使用自动预置的注意事项

在开始部署 SCIM 之前,我们建议您首先查看以下有关其如何与 IAM Identity Center 配合使用的重要注意事项。有关其他配置注意事项,请参阅入门教程适用于您的 IdP 的。

  • 如果您要预置主电子邮件地址,则此属性值对于每个用户必须是唯一的。在某些 IdPs情况下,主电子邮件地址可能不是真实的电子邮件地址。例如,它可能是看起来像电子邮件的通用主体名称 (UPN)。它们 IdPs 可能有一个包含用户真实电子邮件地址的辅助或 “其他” 电子邮件地址。您必须在 IdP 中配置 SCIM,以将非空唯一电子邮件地址映射到 IAM Identity Center 主电子邮件地址属性。并且您必须将用户的非空唯一登录标识符映射到 IAM Identity Center 用户名属性。检查您的 IdP 是否具有既是登录标识符又是用户电子邮件名称的单一值。如果是这样,您可以将该 IdP 字段映射到 IAM Identity Center 主电子邮件和 IAM Identity Center 用户名。

  • 要使 SCIM 同步起作用,必须为每个用户指定名字姓氏用户名显示名称值。如果用户缺少这些值中的任何一个,则不会配置该用户。

  • 如果您需要使用第三方应用程序,则首先需要将出站 SAML 主题属性映射到用户名属性。如果第三方应用程序需要可路由的电子邮件地址,您必须向您的 IdP 提供电子邮件属性。

  • SCIM 预置和更新间隔由您的身份提供商控制。仅当您的身份提供商将这些更改发送到 IAM Identity Center 后,对身份提供商中的用户和组的更改才会反映在 IAM Identity Center 中。请咨询您的身份提供商,了解有关用户和组更新频率的详细信息。

  • 目前,SCIM 未配置多值属性(例如给定用户的多个电子邮件或电话号码)。尝试使用 SCIM 将多值属性同步到 IAM Identity Center 将失败。为了避免失败,请确保为每个属性仅传递一个值。如果您的用户具有多值属性,请删除或修改 IdP 处 SCIM 中的重复属性映射,以连接到 IAM Identity Center。

  • 验证 IdP 处的 externalId SCIM 映射是否对应于对您的用户而言唯一、始终存在且最不可能更改的值。例如,您的 IdP 可能会提供有保证的 objectId 或其他标识符,这些标识符不会受到姓名和电子邮件等用户属性更改的影响。如果是这样,您可以将该值映射到 SCIM externalId 字段。这样可以确保您的用户在需要更改姓名或电子邮件时不会丢失 Amazon 授权、分配或权限。

  • 尚未分配到应用程序或 Amazon Web Services 账户 无法配置到 IAM Identity Center 的用户。要同步用户和组,请确保将它们分配给代表您的 IdP 与 IAM Identity Center 连接的应用程序或其他设置。

  • 用户取消配置行为由身份提供商管理,可能因实施情况而异。有关取消用户配置的详细信息,请咨询您的身份提供商。

有关 IAM Identity Center SCIM 实施的更多信息,请参阅 IAM Identity Center SCIM 实施开发人员指南

如何监控访问令牌过期

SCIM 访问令牌的生成有效期为一年。当您的 SCIM 访问令牌设置为 90 天或更短时间后到期时, Amazon 会在 IAM Identity Center 控制台和控制 Amazon Health 面板中向您发送提醒,以帮助您轮换令牌。通过在 SCIM 访问令牌过期之前进行轮换,您可以持续保护用户和组信息的自动预置。如果 SCIM 访问令牌过期,用户和组信息从身份提供商到 IAM Identity Center 的同步将停止,因此自动预置无法再进行更新或创建和删除信息。自动预置中断可能会增加安全风险并影响对服务的访问。

Identity Center 控制台提醒将持续存在,直到您轮换 SCIM 访问令牌并删除任何未使用或过期的访问令牌。 Amazon Health 控制面板事件每周续订 90 到 60 天,每周更新两次,从 60 到 30 天,每周续订三次,从 30 到 15 天,每天续订 15 天,直到 SCIM 访问令牌到期。

如何启用自动预置

使用以下过程可使用 SCIM 协议将用户和组从 IdP 自动预置到 IAM Identity Center。

注意

在开始此过程之前,我们建议您首先查看适用于您的 IdP 的预置注意事项。有关更多信息,请参阅入门教程适用于您的 IdP 的。

在 IAM Identity Center 中启用自动预置
  1. 完成先决条件后,打开 IAM Identity Center 控制台

  2. 在左侧导航窗格中选择设置

  3. 设置页面上,找到自动预置信息框,然后选择启用。这会立即在 IAM Identity Center 中启用自动预置,并显示必要的 SCIM 端点和访问令牌信息。

  4. 入站自动预置对话框中,复制以下选项的每个值。稍后在 IdP 中配置预置时,您需要粘贴这些内容。

    1. SCIM 端点

    2. 访问令牌

  5. 选择关闭

完成此过程后,您必须在 IdP 中配置自动预置。有关更多信息,请参阅入门教程适用于您的 IdP 的。

如何禁用自动预置

使用以下过程在 IAM Identity Center 控制台中禁用自动预置。

重要

在开始此过程之前,您必须删除访问令牌。有关更多信息,请参阅 如何删除访问令牌

在 IAM Identity Center 控制台中禁用自动预置
  1. IAM Identity Center 控制台中,选择左侧导航窗格中的设置

  2. 设置页面上,选择身份源选项卡,然后选择操作>管理预置

  3. 自动预置页面上,选择禁用

  4. 禁用自动预置对话框中,查看信息,键入禁用,然后选择禁用自动预置

如何生成新的访问令牌

使用以下过程在 IAM Identity Center 控制台中生成新的访问令牌。

注意

此过程要求您之前已启用自动预置。有关更多信息,请参阅 如何启用自动预置

生成新的访问令牌
  1. IAM Identity Center 控制台中,选择左侧导航窗格中的设置

  2. 设置页面上,选择身份源选项卡,然后选择操作>管理预置

  3. 自动预置页面的访问令牌下,选择生成令牌

  4. 生成新的访问令牌对话框中,复制新的访问令牌并将其保存在安全的地方。

  5. 选择关闭

如何删除访问令牌

使用以下过程删除 IAM Identity Center 控制台中的现有访问令牌。

删除现有的访问令牌
  1. IAM Identity Center 控制台中,选择左侧导航窗格中的设置

  2. 设置页面上,选择身份源选项卡,然后选择操作>管理预置

  3. 自动预置页面的访问令牌下,选择要删除的访问令牌,然后选择删除

  4. 删除访问令牌对话框中,查看信息,键入 DELETE,然后选择删除访问令牌

如何轮换访问令牌

IAM Identity Center 目录一次最多支持两个访问令牌。要在任何轮换之前生成额外的访问令牌,请删除所有过期或未使用的访问令牌。

如果您的 SCIM 访问令牌即将过期,您可以使用以下过程在 IAM Identity Center 控制台中轮换现有访问令牌。

要轮换访问令牌
  1. IAM Identity Center 控制台中,选择左侧导航窗格中的设置

  2. 设置页面上,选择身份源选项卡,然后选择操作>管理预置

  3. 自动预置页面的访问令牌下,记下要轮换的令牌的令牌 ID。

  4. 按照 如何生成新的访问令牌 的步骤创建一个新的令牌。如果您已创建最大数量的 SCIM 访问令牌,则首先需要删除现有令牌之一。

  5. 转至身份提供商的网站并为 SCIM 预置预置新的访问令牌,然后使用新的 SCIM 访问令牌测试与 IAM Identity Center 的连接。确认使用新令牌预置成功后,请继续执行此过程中的下一步。

  6. 按照 如何删除访问令牌 中的步骤删除您之前记下的旧访问令牌。您还可以使用令牌的创建日期作为要删除哪个令牌的提示。