将 AWS IAM 标识中心配置为标识提供者(预览版)

如果你是使用 AWS IAM 标识中心的 Amazon Web Services (AWS) 客户,则可以在权限管理中将标识中心配置为标识提供者。 通过配置 AWS IAM 标识中心信息,你可以在权限管理中接收更准确的标识数据。

注意

将 AWS IAM 标识中心配置为标识提供者是一个可选步骤。 通过配置标识提供者信息,权限管理可以读取在 AWS IAM 标识中心配置的用户和角色访问权限。 管理员可以查看已分配的标识权限的增强视图。 可以随时返回到这些步骤来配置 IdP。

如何将 AWS IAM 标识中心配置为标识提供者

  1. 如果在权限管理启动时未显示数据收集器仪表板,请选择“设置”(齿轮图标),然后选择“数据收集器”子选项卡。

  2. 在“数据收集器”仪表板中,选择“AWS”,然后选择“创建配置”。 如果 AWS 帐户中已存在数据收集器,并且你想要添加 AWS IAM 集成:

    • 选择要为其配置 AWS IAM 的数据收集器。
    • 单击“授权系统状态”旁边的省略号。
    • 选择“集成标识提供者”。
  3. 在“集成标识提供者 (IdP)”页上,选择“AWS IAM 标识中心”框。

  4. 填写以下字段:

    • AWS IAM 标识中心区域。 指定安装 AWS IAM 标识中心的区域。 IAM 标识中心中配置的所有数据
      存储在安装 IAM 标识中心的区域中。
    • 你的 AWS 管理帐户 ID
    • 你的 AWS 管理帐户角色
  5. 选择“启动管理帐户模板”。 模板将在新的窗口中打开。

  6. 如果在前面的载入步骤中使用 CloudFormation 模板创建了管理帐户堆栈,请以 EnableSSO 为 true 运行来更新堆栈。 如果运行此命令,则会在运行管理帐户模板时创建新堆栈。

该模板执行会将 AWS 托管策略 AWSSSOReadOnly 和新创建的自定义策略 SSOPolicy 附加到 AWS IAM 角色,以便 Microsoft Entra 权限管理收集组织信息。 模板中会请求以下详细信息。 所有字段都已预先填充,你可以根据需要编辑数据:

  • 堆栈名称 - 堆栈名称是 AWS 堆栈的名称,用于为权限管理创建所需的 AWS 资源以收集组织信息。 默认值为 mciem-org-<tenant-id>

  • CFT 参数

    • OIDC 提供者角色名称–可以担任该角色的 IAM 角色 OIDC 提供者的名称。 默认值是 OIDC 帐户角色(在权限管理中输入的)。

    • 组织帐户角色名称 - IAM 角色的名称。 默认值预填充为(在 Microsoft Entra PM 中输入的)管理帐户角色名称。

    • true–启用 AWS SSO。 从“配置标识提供者 (IdP)”页启动模板时,默认值为 true,否则默认值为 false

    • OIDC 提供者帐户 ID–创建 OIDC 提供者的帐户 ID。 默认值是 OIDC 提供者帐户 ID(在权限管理中输入的)。

    • 租户 ID–创建应用程序的租户的 ID。 默认值为 tenant-id(配置的租户)。

  1. 单击“下一步”查看并确认输入的信息。

  2. 单击“立即验证并保存”

后续步骤