Esercitazione: Integrazione dell'accesso Single Sign-On (SSO) di Azure Active Directory con Amazon Web Services (AWS)Tutorial: Azure Active Directory single sign-on (SSO) integration with Amazon Web Services (AWS)

Questa esercitazione descrive come integrare Amazon Web Services (AWS) con Azure Active Directory (Azure AD).In this tutorial, you'll learn how to integrate Amazon Web Services (AWS) with Azure Active Directory (Azure AD). Integrando Amazon Web Services (AWS) con Azure AD, è possibile:When you integrate Amazon Web Services (AWS) with Azure AD, you can:

  • Controllare in Azure AD chi può accedere ad Amazon Web Services (AWS).Control in Azure AD who has access to Amazon Web Services (AWS).
  • Abilitare gli utenti per l'accesso automatico ad Amazon Web Services (AWS) con gli account Azure AD personali.Enable your users to be automatically signed-in to Amazon Web Services (AWS) with their Azure AD accounts.
  • Gestire gli account in un'unica posizione centrale: il portale di Azure.Manage your accounts in one central location - the Azure portal.

Per altre informazioni sull'integrazione di app SaaS con Azure AD, vedere Accesso Single Sign-On alle applicazioni in Azure Active Directory.To learn more about SaaS app integration with Azure AD, see What is application access and single sign-on with Azure Active Directory.

Diagramma della relazione tra Azure AD e AWS

È possibile configurare più identificatori per più istanze.You can configure multiple identifiers for multiple instances. Ad esempio:For example:

  • https://signin.aws.amazon.com/saml#1

  • https://signin.aws.amazon.com/saml#2

Con questi valori Azure AD rimuove il valore di # e invia il valore corretto https://signin.aws.amazon.com/saml come URL destinatario nel token SAML.With these values, Azure AD removes the value of #, and sends the correct value https://signin.aws.amazon.com/saml as the audience URL in the SAML token.

È consigliabile usare questo approccio per i motivi seguenti:We recommend this approach for the following reasons:

  • Ogni applicazione fornisce un certificato X509 unico.Each application provides you with a unique X509 certificate. Ogni istanza di un'app AWS può quindi avere una diversa data di scadenza del certificato, che può essere gestita su una base dell'account AWS singolo.Each instance of an AWS app instance can then have a different certificate expiry date, which can be managed on an individual AWS account basis. In questo caso il rollover generale dei certificati è più semplice.Overall certificate rollover is easier in this case.

  • È possibile abilitare il provisioning utenti con un'app AWS in Azure AD, in modo che il servizio recuperi tutti i ruoli dall'account AWS.You can enable user provisioning with an AWS app in Azure AD, and then our service fetches all the roles from that AWS account. Non è necessario aggiungere o aggiornare manualmente i ruoli AWS nell'app.You don’t have to manually add or update the AWS roles on the app.

  • È possibile assegnare individualmente il proprietario dell'app per l'app.You can assign the app owner individually for the app. Questa persona può gestire l'applicazione direttamente in Azure AD.This person can manage the app directly in Azure AD.

Nota

Assicurarsi di usare solo un'applicazione della raccolta.Make sure you use a gallery application only.

PrerequisitiPrerequisites

Per iniziare, sono necessari gli elementi seguenti:To get started, you need the following items:

  • Una sottoscrizione di Azure AD.An Azure AD subscription. Se non si ha una sottoscrizione, è possibile ottenere un account gratuito.If you don't have a subscription, you can get a free account.
  • Sottoscrizione di AWS abilitata per l'accesso Single Sign-On (SSO).An AWS single sign-on (SSO) enabled subscription.

Descrizione dello scenarioScenario description

In questa esercitazione vengono eseguiti la configurazione e il test dell'accesso Single Sign-On di Azure AD in un ambiente di test.In this tutorial, you configure and test Azure AD SSO in a test environment.

  • Amazon Web Services (AWS) supporta l'accesso SSO avviato da SP e IDPAmazon Web Services (AWS) supports SP and IDP initiated SSO

Nota

Dal momento che l'identificatore di questa applicazione è un valore stringa fisso, è possibile configurare una sola istanza in un solo tenant.Identifier of this application is a fixed string value so only one instance can be configured in one tenant.

Per configurare l'integrazione di Amazon Web Service (AWS) in Azure AD, è necessario aggiungere Amazon Web Service (AWS) dalla raccolta al proprio elenco di app SaaS gestite.To configure the integration of Amazon Web Services (AWS) into Azure AD, you need to add Amazon Web Services (AWS) from the gallery to your list of managed SaaS apps.

  1. Accedere al portale di Azure con un account aziendale o dell'istituto di istruzione oppure con un account Microsoft personale.Sign in to the Azure portal using either a work or school account, or a personal Microsoft account.
  2. Nel riquadro di spostamento a sinistra selezionare il servizio Azure Active Directory.On the left navigation pane, select the Azure Active Directory service.
  3. Passare ad Applicazioni aziendali e quindi selezionare Tutte le applicazioni.Navigate to Enterprise Applications and then select All Applications.
  4. Per aggiungere una nuova applicazione, selezionare Nuova applicazione.To add new application, select New application.
  5. Nella sezione Aggiungi dalla raccolta digitare Amazon Web Services (AWS) nella casella di ricerca.In the Add from the gallery section, type Amazon Web Services (AWS) in the search box.
  6. Selezionare Amazon Web Service (AWS) nel pannello dei risultati e quindi aggiungere l'app.Select Amazon Web Services (AWS) from results panel and then add the app. Attendere alcuni secondi che l'app venga aggiunta al tenant.Wait a few seconds while the app is added to your tenant.

Configurare e testare l'accesso Single Sign-On di Azure AD per Amazon Web Services (AWS)Configure and test Azure AD single sign-on for Amazon Web Services (AWS)

Configurare e testare l'accesso SSO di Azure AD con Amazon Web Services (AWS) usando un utente di test di nome B.Simon.Configure and test Azure AD SSO with Amazon Web Services (AWS) using a test user called B.Simon. Per consentire il funzionamento dell'accesso Single Sign-On, è necessario stabilire una relazione di collegamento tra un utente di Azure AD e l'utente correlato in Amazon Web Services (AWS).For SSO to work, you need to establish a link relationship between an Azure AD user and the related user in Amazon Web Services (AWS).

Per configurare e testare l'accesso SSO di Azure AD con Amazon Web Service (AWS), completare le procedure di base seguenti:To configure and test Azure AD SSO with Amazon Web Services (AWS), complete the following building blocks:

  1. Configurare l'accesso Single Sign-On di Azure AD : per consentire agli utenti di usare questa funzionalità.Configure Azure AD SSO - to enable your users to use this feature.
    1. Creare un utente di test di Azure AD : per testare l'accesso Single Sign-On di Azure AD con l'utente B.Simon.Create an Azure AD test user - to test Azure AD single sign-on with B.Simon.
    2. Assegnare l'utente di test di Azure AD : per abilitare B.Simon all'uso dell'accesso Single Sign-On di Azure AD.Assign the Azure AD test user - to enable B.Simon to use Azure AD single sign-on.
  2. Configurare l'accesso Single Sign-On di Amazon Web Services (AWS) : per configurare le impostazioni di Single Sign-On sul lato applicazione.Configure Amazon Web Services (AWS) SSO - to configure the single sign-on settings on application side.
    1. Creare l'utente di test di Amazon Web Services (AWS) : per avere una controparte di B.Simon in Amazon Web Services (AWS) collegata alla rappresentazione dell'utente in Azure AD.Create Amazon Web Services (AWS) test user - to have a counterpart of B.Simon in Amazon Web Services (AWS) that is linked to the Azure AD representation of user.
  3. Testare l'accesso Single Sign-On : per verificare se la configurazione funziona.Test SSO - to verify whether the configuration works.

Configurare l'accesso SSO di Azure ADConfigure Azure AD SSO

Per abilitare l'accesso Single Sign-On di Azure AD nel portale di Azure, seguire questa procedura.Follow these steps to enable Azure AD SSO in the Azure portal.

  1. Nella pagina di integrazione dell'applicazione Amazon Web Services (AWS) del portale di Azure individuare la sezione Gestione e selezionare Single Sign-On.In the Azure portal, on the Amazon Web Services (AWS) application integration page, find the Manage section and select single sign-on.

  2. Nella pagina Selezionare un metodo di accesso Single Sign-On selezionare SAML.On the Select a single sign-on method page, select SAML.

  3. Nella pagina Configura l'accesso Single Sign-On con SAML fare clic sull'icona Modifica (la penna) relativa a Configurazione SAML di base per modificare le impostazioni.On the Set up single sign-on with SAML page, click the edit/pen icon for Basic SAML Configuration to edit the settings.

    Modificare la configurazione SAML di base

  4. Nella sezione Configurazione SAML di base l'applicazione è preconfigurata e gli URL necessari sono già prepopolati con Azure.On the Basic SAML Configuration section, the application is pre-configured, and the necessary URLs are already pre-populated with Azure. L'utente deve salvare la configurazione selezionando Salva.The user needs to save the configuration by selecting Save.

  5. Quando si configura più di un'istanza, specificare un valore per l'identificatore.When you are configuring more than one instance, provide an identifier value. Dalla seconda istanza in poi, usare il formato seguente, che include una firma # per specificare un valore SPN univoco.From second instance onwards, use the following format, including a # sign to specify a unique SPN value.

    https://signin.aws.amazon.com/saml#2

  6. Nella sezione Certificato di firma SAML della pagina Configura l'accesso Single Sign-On con SAML individuare il file XML dei metadati della federazione e selezionare Scarica per scaricare il certificato e salvarlo nel computer.On the Set up single sign-on with SAML page, in the SAML Signing Certificate section, find Federation Metadata XML and select Download to download the certificate and save it on your computer.

    Collegamento di download del certificato

  7. Nella sezione Configura Amazon Web Services (AWS) copiare gli URL appropriati in base alle esigenze.On the Set up Amazon Web Services (AWS) section, copy the appropriate URL(s) based on your requirement.

    Copiare gli URL di configurazione

Creare un utente di test di Azure ADCreate an Azure AD test user

In questa sezione verrà creato un utente di test di nome B.Simon nel portale di Azure.In this section, you'll create a test user in the Azure portal called B.Simon.

  1. Nel riquadro sinistro del portale di Azure selezionare Azure Active Directory, Utenti e quindi Tutti gli utenti.From the left pane in the Azure portal, select Azure Active Directory, select Users, and then select All users.
  2. Selezionare Nuovo utente in alto nella schermata.Select New user at the top of the screen.
  3. In Proprietà utente seguire questa procedura:In the User properties, follow these steps:
    1. Nel campo Nome immettere B.Simon.In the Name field, enter B.Simon.
    2. Nel campo Nome utente immettere username@companydomain.extension.In the User name field, enter the username@companydomain.extension. Ad esempio: B.Simon@contoso.com.For example, B.Simon@contoso.com.
    3. Selezionare la casella di controllo Mostra password e quindi prendere nota del valore visualizzato nella casella Password.Select the Show password check box, and then write down the value that's displayed in the Password box.
    4. Fare clic su Crea.Click Create.

Assegnare l'utente di test di Azure ADAssign the Azure AD test user

In questa sezione si abiliterà B.Simon all'uso dell'accesso Single Sign-On di Azure concedendole l'accesso ad Amazon Web Services (AWS).In this section, you'll enable B.Simon to use Azure single sign-on by granting access to Amazon Web Services (AWS).

  1. Nel portale di Azure selezionare Applicazioni aziendali e quindi Tutte le applicazioni.In the Azure portal, select Enterprise Applications, and then select All applications.

  2. Nell'elenco delle applicazioni selezionare Amazon Web Service (AWS) .In the applications list, select Amazon Web Services (AWS).

  3. Nella pagina di panoramica dell'app trovare la sezione Gestione e selezionare Utenti e gruppi.In the app's overview page, find the Manage section and select Users and groups.

    Collegamento "Utenti e gruppi"

  4. Selezionare Aggiungi utente e quindi Utenti e gruppi nella finestra di dialogo Aggiungi assegnazione.Select Add user, then select Users and groups in the Add Assignment dialog.

    Collegamento Aggiungi utente

  5. Nella finestra di dialogo Utenti e gruppi selezionare B.Simon dall'elenco degli utenti e quindi fare clic sul pulsante Seleziona nella parte inferiore della schermata.In the Users and groups dialog, select B.Simon from the Users list, then click the Select button at the bottom of the screen.

  6. Se si prevede un valore di ruolo nell'asserzione SAML, nella finestra di dialogo Selezionare un ruolo selezionare il ruolo appropriato per l'utente dall'elenco e quindi fare clic sul pulsante Seleziona nella parte inferiore della schermata.If you're expecting any role value in the SAML assertion, in the Select Role dialog, select the appropriate role for the user from the list and then click the Select button at the bottom of the screen.

  7. Nella finestra di dialogo Aggiungi assegnazione fare clic sul pulsante Assegna.In the Add Assignment dialog, click the Assign button.

Configurare l'accesso Single Sign-On di Amazon Web Services (AWS)Configure Amazon Web Services (AWS) SSO

  1. In un'altra finestra del browser accedere al sito aziendale di AWS come amministratore.In a different browser window, sign-on to your AWS company site as an administrator.

  2. Selezionare AWS Home (Home page AWS).Select AWS Home.

    Screenshot del sito aziendale AWS con l'icona AWS Home (Home page AWS) evidenziata

  3. Selezionare Identity and Access Management (Gestione delle identità e degli accessi).Select Identity and Access Management.

    Screenshot della pagina dei servizi AWS con l'opzione Identity and Access Management (Gestione delle identità e degli accessi) evidenziata

  4. Selezionare Identity Providers (Provider di identità) > Create Provider (Crea provider).Select Identity Providers > Create Provider.

    Screenshot della pagina IAM con Identity Providers (Provider di identità) e Create Provider (Crea provider) evidenziati

  5. Nella pagina Configure Provider (Configura provider) seguire questa procedura:On the Configure Provider page, perform the following steps:

    Screenshot di Configure Provider (Configura provider)

    a.a. In Provider Type (Tipo provider) selezionare SAML.For Provider Type, select SAML.

    b.b. In Provider Name (Nome provider) digitare un nome di provider, ad esempio: WAAD.For Provider Name, type a provider name (for example: WAAD).

    c.c. Per caricare il file di metadati scaricato dal portale di Azure, selezionare Choose File (Scegli file).To upload your downloaded metadata file from the Azure portal, select Choose File.

    d.d. Selezionare Next Step (Passaggio successivo).Select Next Step.

  6. Nella pagina Verify Provider Information (Verifica informazioni provider) selezionare Create (Crea).On the Verify Provider Information page, select Create.

    Screenshot di Verify Provider Information (Verifica informazioni provider) con Create (Crea) evidenziato

  7. Selezionare Roles (Ruoli) > Create role (Crea ruolo).Select Roles > Create role.

    Screenshot della pagina Roles (Ruoli)

  8. Nella pagina Create role (Crea ruolo) seguire questa procedura:On the Create role page, perform the following steps:

    Screenshot della pagina Create role (Crea ruolo)

    a.a. In Select type of trusted entity (Seleziona il tipo di entità attendibile) selezionare SAML 2.0 federation (Federazione SAML 2.0).Under Select type of trusted entity, select SAML 2.0 federation.

    b.b. In Choose a SAML 2.0 Provider (Scegli un provider SAML 2.0) selezionare il provider SAML creato in precedenza, ad esempio: WAAD.Under Choose a SAML 2.0 Provider, select the SAML provider you created previously (for example: WAAD).

    c.c. Selezionare Allow programmatic and AWS Management Console access (Consenti accesso a livello di codice e tramite AWS Management Console).Select Allow programmatic and AWS Management Console access.

    d.d. Selezionare Avanti: Permissions (Avanti: Autorizzazioni).Select Next: Permissions.

  9. Nella finestra di dialogo Attach Permissions Policies (Collega i criteri di autorizzazione) collegare i criteri appropriati in base all'organizzazione.On the Attach permissions policies dialog box, attach the appropriate policy, per your organization. Selezionare quindi Next: Review (Avanti: Rivedi).Then select Next: Review.

    Screenshot della finestra di dialogo Attach permissions policy (Collega i criteri di autorizzazione)

  10. Nella finestra di dialogo Review (Revisione) seguire questa procedura:On the Review dialog box, perform the following steps:

    Screenshot della finestra di dialogo Review (Revisione)

    a.a. In Role name (Nome ruolo) immettere il nome del ruolo.In Role name, enter your role name.

    b.b. In Role description (Descrizione ruolo) immettere la descrizione.In Role description, enter the description.

    c.c. Selezionare Create role (Crea ruolo).Select Create role.

    d.d. Creare tutti i ruoli necessari in base alle esigenze ed eseguirne il mapping al provider di identità.Create as many roles as needed, and map them to the identity provider.

  11. Usare le credenziali dell'account del servizio AWS per recuperare i ruoli dall'account AWS nel provisioning utenti di Azure AD.Use AWS service account credentials for fetching the roles from the AWS account in Azure AD user provisioning. A tale scopo, aprire la pagina home della console AWS.For this, open the AWS console home.

  12. Selezionare Services (Servizi).Select Services. In Security, Identity & Compliance (Sicurezza, identità e conformità) selezionare IAM.Under Security, Identity & Compliance, select IAM.

    Screenshot della home page della console AWS con Services (Servizi) e IAM evidenziati

  13. Nella sezione IAM selezionare Policies (Criteri).In the IAM section, select Policies.

    Screenshot della sezione IAM con Policies (Criteri) evidenziato

  14. Creare un nuovo criterio selezionando Create policy (Crea criterio) per recuperare i ruoli dell'account AWS nel servizio di provisioning utenti di Azure AD.Create a new policy by selecting Create policy for fetching the roles from the AWS account in Azure AD user provisioning.

    Screenshot della pagina Create role (Crea ruolo) con Create policy (Crea criterio) evidenziato

  15. Creare un criterio personalizzato per recuperare tutti i ruoli dagli account AWS.Create your own policy to fetch all the roles from AWS accounts.

    Screenshot della pagina Create policy (Crea criterio) con JSON evidenziato

    a.a. In Create policy (Crea criterio) selezionare la scheda JSON.In Create policy, select the JSON tab.

    b.b. Nel documento del criterio aggiungere il codice JSON seguente:In the policy document, add the following JSON:

    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                "iam:ListRoles"
                ],
                "Resource": "*"
            }
        ]
    }
    

    c.c. Selezionare Review policy (Rivedi criterio) per convalidare il criterio.Select Review policy to validate the policy.

    Screenshot della pagina Create policy (Crea criterio)

  16. Definire il nuovo criterio.Define the new policy.

    Screenshot della pagina Create policy (Crea criterio) con i campi Name (Nome) e Description (Descrizione) evidenziati

    a.a. In Name (Nome) immettere AzureAD_SSOUserRole_Policy.For Name, enter AzureAD_SSOUserRole_Policy.

    b.b. In Description (Descrizione) immettere This policy will allow to fetch the roles from AWS accounts (Questo criterio consente di recuperare i ruoli dagli account AWS).For Description, enter This policy will allow to fetch the roles from AWS accounts.

    c.c. Selezionare Create policy (Crea criterio).Select Create policy.

  17. Creare un nuovo account utente nel servizio AWS IAM.Create a new user account in the AWS IAM service.

    a.a. Nella console AWS IAM selezionare Users (Utenti).In the AWS IAM console, select Users.

    Screenshot della console AWS IAM con Users (Utenti) evidenziato

    b.b. Per creare un nuovo utente, selezionare Add user (Aggiungi utente).To create a new user, select Add user.

    Screenshot del pulsante Add user (Aggiungi utente)

    c.c. Nella sezione Add user (Aggiungi utente):In the Add user section:

    Screenshot della pagina Add user (Aggiungi utente) con User name (Nome utente) e Access type (Tipo di accesso) evidenziati

    • In Nome utente immettere AzureADRoleManager.Enter the user name as AzureADRoleManager.

    • Per il tipo di accesso selezionare Programmatic access (Accesso a livello di programmazione).For the access type, select Programmatic access. In questo modo l'utente può chiamare le API e recuperare i ruoli dall'account AWS.This way, the user can invoke the APIs and fetch the roles from the AWS account.

    • Selezionare Next Permissions (Autorizzazioni successive).Select Next Permissions.

  18. Creare un nuovo criterio per questo utente.Create a new policy for this user.

    Screenshot di Add user (Aggiungi utente)

    a.a. Selezionare Attach existing policies directly (Collega direttamente i criteri esistenti).Select Attach existing policies directly.

    b.b. Cercare il nuovo criterio creato nella sezione filtro, AzureAD_SSOUserRole_Policy.Search for the newly created policy in the filter section AzureAD_SSOUserRole_Policy.

    c.c. Selezionare il criterio e quindi selezionare Next: Review (Avanti: Rivedi).Select the policy, and then select Next: Review.

  19. Rivedere il criterio per l'utente collegato.Review the policy to the attached user.

    Screenshot della pagina Add user (Aggiungi utente) con Create user (Crea utente) evidenziato

    a.a. Controllare il nome utente, il tipo di accesso e il criterio associati all'utente.Review the user name, access type, and policy mapped to the user.

    b.b. Selezionare Create user (Crea utente).Select Create user.

  20. Scaricare le credenziali utente di un utente.Download the user credentials of a user.

    Screenshot di Add user (Aggiungi utente)

    a.a. Copiare l'ID chiave di accesso e la chiave di accesso segreta dell'utente.Copy the user Access key ID and Secret access key.

    b.b. Immettere queste credenziali nella sezione del provisioning utenti di Azure AD per recuperare i ruoli dalla console AWS.Enter these credentials into the Azure AD user provisioning section to fetch the roles from the AWS console.

    c.c. Selezionare Chiudi.Select Close.

  21. Nel portale di gestione di Azure AD nell'app AWS passare a Provisioning.In the Azure AD management portal, in the AWS app, go to Provisioning.

    Screenshot dell'app AWS con Provisioning evidenziato

  22. Immettere la chiave di accesso e il segreto rispettivamente nei campi Segreto client e Token segreto.Enter the access key and secret in the clientsecret and Secret Token fields, respectively.

    Screenshot della finestra di dialogo Credenziali amministratore

    a.a. Immettere la chiave di accesso utente AWS nel campo Segreto client.Enter the AWS user access key in the clientsecret field.

    b.b. Immettere il segreto utente AWS nel campo Token segreto.Enter the AWS user secret in the Secret Token field.

    c.c. Selezionare Test connessione.Select Test Connection.

    d.d. Salvare l'impostazione selezionando Salva.Save the setting by selecting Save.

  23. Nella sezione Impostazioni per Stato del provisioning selezionare Attiva.In the Settings section, for Provisioning Status, select On. Selezionare quindi Salva.Then select Save.

    Screenshot della sezione Impostazioni con Attiva evidenziato

Nota

Il servizio di provisioning importerà solo i ruoli da AWS ad Azure AD.Provisioning service will only import roles from AWS to Azure AD. Non effettuerà il provisioning degli utenti e dei gruppi da Azure AD a AWS.This service will not provision users and groups from Azure AD back to AWS.

Creare un utente di test di Amazon Web Services (AWS)Create Amazon Web Services (AWS) test user

Questa sezione descrive come creare un utente chiamato B.Simon in Amazon Web Service (AWS).The objective of this section is to create a user called B.Simon in Amazon Web Services (AWS). Per Amazon Web Services (AWS) non è necessario creare un utente nel sistema per ottenere l'accesso SSO, pertanto non è necessario eseguire nessuna di queste operazioni.Amazon Web Services (AWS) doesn't need a user to be created in their system for SSO, so you don't need to perform any action here.

Testare l'accesso SSOTest SSO

In questa sezione viene testata la configurazione dell'accesso Single Sign-On di Azure AD usando il pannello di accesso.In this section, you test your Azure AD single sign-on configuration using the Access Panel.

Quando si fa clic sul riquadro di Amazon Web Services (AWS) nel pannello di accesso, si dovrebbe accedere automaticamente all'istanza di Amazon Web Services (AWS) per cui si è configurato l'accesso SSO.When you click the Amazon Web Services (AWS) tile in the Access Panel, you should be automatically signed in to the Amazon Web Services (AWS) for which you set up SSO. Per altre informazioni sul pannello di accesso, vedere Introduzione al Pannello di accesso.For more information about the Access Panel, see Introduction to the Access Panel.

Problemi notiKnown issues

  • Nella sottosezione Mapping della sezione Provisioning viene visualizzato il messaggio "Caricamento..." e i mapping degli attributi non vengono mai visualizzati.In the Provisioning section, the Mappings subsection shows a "Loading..." message, and never displays the attribute mappings. L'unico flusso di lavoro di provisioning supportato al momento è l'importazione di ruoli da AWS in Azure AD per la selezione durante l'assegnazione di un utente o di un gruppo.The only provisioning workflow supported today is the import of roles from AWS into Azure AD for selection during a user or group assignment. I mapping di attributi per questo flusso di lavoro sono predeterminati e non configurabili.The attribute mappings for this are predetermined, and aren't configurable.

  • Nella sezione Provisioning è possibile immettere un solo set di credenziali per un unico tenant AWS alla volta.The Provisioning section only supports entering one set of credentials for one AWS tenant at a time. Tutti i ruoli importati vengono scritti nella proprietà appRoles dell'oggetto servicePrincipal di Azure AD per il tenant AWS.All imported roles are written to the appRoles property of the Azure AD servicePrincipal object for the AWS tenant.

    È possibile aggiungere ad Azure più tenant AWS, rappresentati da oggetti servicePrincipals, dalla raccolta per il provisioning.Multiple AWS tenants (represented by servicePrincipals) can be added to Azure AD from the gallery for provisioning. È però presente un problema noto che impedisce di scrivere automaticamente tutti i ruoli importati da più oggetti servicePrincipals AWS usati per il provisioning nell'unico oggetto servicePrincipal usato per l'accesso SSO.There's a known issue, however, with not being able to automatically write all of the imported roles from the multiple AWS servicePrincipals used for provisioning into the single servicePrincipal used for SSO.

    Per ovviare al problema, è possibile usare l'API Microsoft Graph per estrarre tutti gli oggetti appRoles importati in ogni oggetto servicePrincipal AWS in cui è configurato il provisioning.As a workaround, you can use the Microsoft Graph API to extract all of the appRoles imported into each AWS servicePrincipal where provisioning is configured. È quindi possibile aggiungere queste stringhe di ruolo all'oggetto servicePrincipal AWS in cui è configurato l'accesso SSO.You can subsequently add these role strings to the AWS servicePrincipal where SSO is configured.

  • Per essere idonei all'importazione da AWS ad Azure AD, i ruoli devono rispettare i requisiti seguenti:Roles must meet the following requirements to be eligible to be imported from AWS into Azure AD:

    • In AWS deve essere definito un solo provider SAML per i ruoliRoles must have exactly one saml-provider defined in AWS

    • La lunghezza combinata del ruolo ARN e del provider SAML ARN per un ruolo da importare non deve superare 119 caratteriThe combined length of the role ARN and the saml-provider ARN for a role being imported must be 119 characters or less

Risorse aggiuntiveAdditional resources