本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用 SCIM 从外部身份提供者预置用户和组
<a name="provision-automatically"></a>

IAM Identity Center 支持使用跨域身份管理系统 (SCIM) v2.0 协议将用户和组信息从身份提供商 (IdP) 自动预置（同步）到 IAM Identity Center。配置 SCIM 同步时，您可以创建身份提供商 (IdP) 用户属性到 IAM Identity Center 中的命名属性的映射。这会导致 IAM Identity Center 和您的 IdP 之间的预期属性匹配。您可以使用 IAM Identity Center 的 SCIM 端点和您在 IAM Identity Center 中创建的持有者令牌，在 IdP 中配置此连接。

**Topics**
+ [使用自动预置的注意事项](#auto-provisioning-considerations)
+ [如何监控访问令牌过期](#access-token-expiry)
+ [生成访问令牌](generate-token.md)
+ [启用自动预置](how-to-with-scim.md)
+ [删除访问令牌](delete-token.md)
+ [禁用自动预置](disable-provisioning.md)
+ [轮换访问令牌](rotate-token.md)
+ [审计和协调自动预置的资源](reconcile-auto-provisioning.md)
+ [手动预置](#provision-manually)

## 使用自动预置的注意事项
<a name="auto-provisioning-considerations"></a>

在开始部署 SCIM 之前，我们建议您首先查看以下有关其如何与 IAM Identity Center 配合使用的重要注意事项。有关其他预置注意事项，请参阅相应 IdP 适用的 [IAM Identity Center 身份源教程](tutorials.md)。
+ 如果您要预置主电子邮件地址，则此属性值对于每个用户必须是唯一的。在某些 IdPs情况下，主电子邮件地址可能不是真实的电子邮件地址。例如，它可能是看起来像电子邮件的通用主体名称 (UPN)。它们 IdPs 可能有一个包含用户真实电子邮件地址的辅助或 “其他” 电子邮件地址。您必须在 IdP 中配置 SCIM，以将非空唯一电子邮件地址映射到 IAM Identity Center 主电子邮件地址属性。并且您必须将用户的非空唯一登录标识符映射到 IAM Identity Center 用户名属性。检查您的 IdP 是否具有既是登录标识符又是用户电子邮件名称的单一值。如果是这样，您可以将该 IdP 字段映射到 IAM Identity Center 主电子邮件和 IAM Identity Center 用户名。
+ 要使 SCIM 同步起作用，必须为每个用户指定**名字**、**姓氏**、**用户名**和**显示名称**值。如果用户缺少这些值中的任何一个，则不会配置该用户。
+ 如果您需要使用第三方应用程序，则首先需要将出站 SAML 主题属性映射到用户名属性。如果第三方应用程序需要可路由的电子邮件地址，您必须向您的 IdP 提供电子邮件属性。
+ SCIM 预置和更新间隔由您的身份提供商控制。仅当您的身份提供商将这些更改发送到 IAM Identity Center 后，对身份提供商中的用户和组的更改才会反映在 IAM Identity Center 中。请咨询您的身份提供商，了解有关用户和组更新频率的详细信息。
+ 目前，SCIM 未配置多值属性（例如给定用户的多个电子邮件或电话号码）。尝试使用 SCIM 将多值属性同步到 IAM Identity Center 将失败。为了避免失败，请确保为每个属性仅传递一个值。如果您的用户具有多值属性，请删除或修改 IdP 处 SCIM 中的重复属性映射，以连接到 IAM Identity Center。
+ 验证 IdP 处的 `externalId` SCIM 映射是否对应于对您的用户而言唯一、始终存在且最不可能更改的值。例如，您的 IdP 可能会提供有保证的 `objectId` 或其他标识符，这些标识符不会受到姓名和电子邮件等用户属性更改的影响。如果是这样，您可以将该值映射到 SCIM `externalId` 字段。这样可以确保您的用户在需要更改姓名或电子邮件时不会丢失 Amazon 授权、分配或权限。
+ 尚未分配到应用程序或 Amazon Web Services 账户 无法配置到 IAM Identity Center 的用户。要同步用户和组，请确保将它们分配给代表您的 IdP 与 IAM Identity Center 连接的应用程序或其他设置。
+ 用户取消预置行为由身份提供者管理，可能因实现情况而异。请咨询相关身份提供者，了解有关用户取消预置的详细信息。
+ 为您的 IdP 设置 SCIM 自动预置后，您将无法再在 IAM Identity Center 控制台中添加或编辑用户。如果您需要添加或修改用户，必须从您的外部 IdP 或身份源执行此操作。

有关 IAM Identity Center SCIM 实施的更多信息，请参阅 [IAM Identity Center SCIM 实施开发人员指南](https://docs.amazonaws.cn/singlesignon/latest/developerguide/what-is-scim.html)。

## 如何监控访问令牌过期
<a name="access-token-expiry"></a>

SCIM 访问令牌的生成有效期为一年。当您的 SCIM 访问令牌设置为 90 天或更短时间后到期时， Amazon 会在 IAM Identity Center 控制台和控制 Amazon Health 面板中向您发送提醒，以帮助您轮换令牌。通过在 SCIM 访问令牌过期之前进行轮换，您可以持续保护用户和组信息的自动预置。如果 SCIM 访问令牌过期，用户和组信息从身份提供商到 IAM Identity Center 的同步将停止，因此自动预置无法再进行更新或创建和删除信息。自动预置中断可能会增加安全风险并影响对服务的访问。

Identity Center 控制台提醒将持续存在，直到您轮换 SCIM 访问令牌并删除任何未使用或过期的访问令牌。 Amazon Health 控制面板事件每周续订 90 到 60 天，每周更新两次，从 60 到 30 天，每周续订三次，从 30 到 15 天，每天续订 15 天，直到 SCIM 访问令牌到期。

## 手动预置
<a name="provision-manually"></a>

有些 IdPs 不支持跨域身份管理系统 (SCIM)，或者有不兼容的 SCIM 实现。在这些情况下，您可以通过 IAM Identity Center 控制台手动配置用户。当您将用户添加到 IAM Identity Center 时，请确保将用户名设置为与 IdP 中的用户名相同。您至少必须拥有唯一的电子邮件地址和用户名。有关更多信息，请参阅 [用户名和电子邮件地址的唯一性](users-groups-provisioning.md#username-email-unique)。

您还必须在 IAM Identity Center 中手动管理所有组。为此，您需要创建组并使用 IAM Identity Center 控制台添加它们。这些组不需要与您的 IdP 中存在的组匹配。有关更多信息，请参阅 [组](users-groups-provisioning.md#groups-concept)。