Configurare AWS IAM Identity Center come fornitore di servizi di identità (anteprima)

Se si è un cliente di Amazon Web Services (AWS) che usa AWS IAM Identity Center, è possibile configurare il Centro Identità come provider di identità in Gestione Autorizzazioni. La configurazione delle informazioni di AWS IAM Identity Center consente di ricevere dati più accurati per le identità in Gestione autorizzazioni.

Nota

La configurazione di AWS IAM Identity Center come provider di identità è un passaggio facoltativo. Configurando le informazioni sul provider di identità, Gestione Autorizzazioni può leggere l'accesso utente e ruolo configurato in AWS IAM Identity Center. Gli amministratori possono visualizzare la visualizzazione aumentata delle autorizzazioni assegnate alle identità. È possibile riprendere questi passaggi per configurare un IdP in qualsiasi momento.

Come configurare AWS IAM Identity Center come provider di identità

1. Se la dashboard Raccoglitori di dati non viene visualizzata quando si avvia Gestione autorizzazioni, seleziona Impostazioni (icona a forma di ingranaggio) e quindi seleziona la sottoscheda Raccoglitori di dati.

2. Sul dashboard agenti di raccolta dati, seleziona AWSe quindi seleziona Crea configurazione. Se un agente di raccolta dati esiste già nell'account AWS e si vuole aggiungere l'integrazione di AWS IAM, procedere come illustrato di seguito:

   • Selezionare l'agente di raccolta dati per cui si vuole configurare AWS IAM.
   • Fare clic sui tre puntini accanto allo stato dei sistemi di autorizzazione .
   • Seleziona Integra il provider di identità.

3. Nella pagina Integrate Identity Provider (IdP) selezionare la casella per AWS IAM Identity Center.

4. Compilare i campi seguenti:

   • La regione del AWS IAM Identity Center. Specificare l'area in cui è installato AWS IAM Identity Center. Tutti i dati configurati nel Centro identità IAM
     viene archiviato nell'area in cui è installato il Centro identità IAM.
   • Il tuo ID account di gestione AWS
   • Il ruolo dell'account di gestione AWS

5. Selezionare Avvia modello di account di gestione. Il modello viene aperto in una nuova finestra.

6. Se lo stack di Account di gestione viene creato con il modello CloudFormation come parte dei passaggi di onboarding precedenti, aggiorna lo stack impostando EnableSSO su true. L'esecuzione di questo comando crea un nuovo stack quando si esegue il modello di account di gestione.

L'esecuzione del modello collega i criteri gestiti di AWS AWSSSOReadOnly e i criteri personalizzati appena creati SSOPolicy al ruolo AWS IAM che consente a Microsoft Entra Permissions Management di raccogliere informazioni sull'organizzazione. Nel modello vengono richiesti i dettagli seguenti. Tutti i campi sono prepopolati ed è possibile modificare i dati in base alle esigenze:

• nome stack: il nome dello stack è il nome dello stack AWS necessario alla creazione delle risorse AWS per la gestione delle autorizzazioni per raccogliere le informazioni necessarie sull'organizzazione. Il valore predefinito è mciem-org-<tenant-id>.

• parametri CFT

  • Nome del ruolo del provider OIDC – Nome del ruolo IAM del provider OIDC che può assumere questo ruolo. Il valore predefinito è il ruolo dell'account OIDC (come immesso in Gestione autorizzazioni).

  • Nome del ruolo account dell'organizzazione - Nome del ruolo IAM. Il valore predefinito viene inserito automaticamente con il nome del ruolo dell'account di gestione (come immesso in Microsoft Entra PM).

  • true: abilita l'accesso SSO di AWS. Il valore predefinito è true quando il modello viene avviato dalla pagina Configura provider di identità (IdP), altrimenti il valore predefinito è false.

  • ID dell'account provider OIDC: L'ID dell'account in cui viene creato il provider OIDC. Il valore predefinito è l'ID account provider OIDC (come immesso in Gestione autorizzazioni).

  • ID tenant : ID del tenant in cui viene creata l'applicazione. Il valore predefinito è tenant-id (il tenant configurato).

7. Fare clic su Avanti per esaminare e confermare le informazioni immesse.

8. Fare clic su Verifica ora & Salva.

Passaggi successivi

• Per informazioni su come associare e dissociare le autorizzazioni alle identità AWS, vedere Associare e dissociare le politiche per le identità AWS.