Руководство. Настройка автоматической подготовки пользователей в AWS IAM Identity Center

В этом руководстве описаны действия, которые необходимо выполнить в Центре удостоверений AWS IAM (преемник единого входа AWS) и Идентификаторе Microsoft Entra для настройки автоматической подготовки пользователей. При настройке идентификатор Microsoft Entra id автоматически подготавливает и отменяет подготовку пользователей и групп в Центр удостоверений AWS IAM с помощью службы подготовки Microsoft Entra. Важные сведения о том, что делает эта служба, как она работает и часто задаваемые вопросы, см. в статье Автоматизации подготовки пользователей и отмены подготовки приложений SaaS с помощью идентификатора Microsoft Entra.

Поддерживаемые возможности

• Создание пользователей в AWS IAM Identity Center.
• Удаление пользователей из AWS IAM Identity Center, когда им больше не нужен доступ.
• Синхронизация атрибутов пользователей между идентификатором Microsoft Entra и Центром удостоверений AWS IAM
• Подготовка групп и членства в группах в AWS IAM Identity Center.
• Переход из IAM Identity Center в AWS IAM Identity Center.

Необходимые компоненты

В сценарии, описанном в этом руководстве, предполагается, что у вас уже имеется:

• Клиент Microsoft Entra
• Одна из следующих ролей: Application Администратор istrator, Cloud Application Администратор istrator или Владелец приложения.
• Подключение SAML из учетной записи Microsoft Entra к Центру удостоверений AWS IAM, как описано в руководстве

Шаг 1. Планирование развертывания подготовки

1. Узнайте, как работает служба подготовки.
2. Определите, кто находится в область для подготовки.
3. Определите, какие данные необходимо сопоставить между идентификатором Microsoft Entra и Центром удостоверений AWS IAM.

Шаг 2. Настройка Центра удостоверений AWS IAM для поддержки подготовки с помощью идентификатора Microsoft Entra

1. Откройте AWS IAM Identity Center.

2. Выберите элемент Settings (Параметры) на панели навигации слева.

3. В разделе Settings (Параметры) щелкните Enable (Включить) в разделе Automatic provisioning (Автоматическая подготовка).

   

4. В диалоговом окне Inbound automatic provisioning (Автоматическая подготовка входящего трафика) скопируйте и сохраните значения SCIM endpoint (Конечная точка SCIM) и Access Token (Маркер доступа) (отображается после нажатия кнопки Show Token (Показать маркер)). Эти значения вводятся в поле "URL-адрес клиента" и "Секретный маркер " на вкладке "Подготовка" приложения Центра удостоверений AWS IAM.

Шаг 3. Добавление Центра удостоверений AWS IAM из коллекции приложений Microsoft Entra

Добавьте Центр удостоверений AWS IAM из коллекции приложений Microsoft Entra, чтобы начать управление подготовкой в Центре удостоверений AWS IAM. Если вы ранее настроили AWS IAM Identity Center для единого входа, вы можете использовать то же приложение. Дополнительные сведения о добавлении приложения из коллекции см. здесь.

Шаг 4. Определение того, кто находится в область для подготовки

Служба подготовки Microsoft Entra позволяет область, которые подготавливаются на основе назначения приложению и на основе атрибутов пользователя или группы. Если вы решили область, которые подготовлены к приложению на основе назначения, можно выполнить следующие действия, чтобы назначить пользователей и группы приложению. Если вы решили область, кто подготовлен исключительно на основе атрибутов пользователя или группы, можно использовать фильтр области, как описано здесь.

• Начните с малого. Протестируйте небольшой набор пользователей и групп, прежде чем выполнять развертывание для всех. Если в область подготовки включены назначенные пользователи и группы, проверьте этот механизм, назначив приложению одного или двух пользователей либо одну или две группы. Если в область включены все пользователи и группы, можно указать фильтр области на основе атрибутов.

• Если требуются дополнительные роли, можно обновить манифест приложения, чтобы добавить новые роли.

Шаг 5. Настройка автоматической подготовки пользователей в Центре удостоверений AWS IAM

В этом разделе описаны инструкции по настройке службы подготовки Microsoft Entra для создания, обновления и отключения пользователей и групп в TestApp на основе назначений пользователей и (или) групп в идентификаторе Microsoft Entra.

Чтобы настроить автоматическую подготовку пользователей для Центра удостоверений AWS IAM в идентификаторе Microsoft Entra ID:

1. Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.

2. Обзор корпоративных приложений>удостоверений>

   

3. В списке приложений выберите AWS IAM Identity Center.

   

4. Выберите вкладку Подготовка.

   

5. Для параметра Режим подготовки к работе выберите значение Automatic (Автоматически).

   

6. В разделе Учетные данные администратора укажите URL-адрес клиента для AWS IAM Identity Center и секретный токен, полученный ранее на шаге 2. Нажмите кнопку "Тестировать Подключение", чтобы убедиться, что идентификатор Microsoft Entra может подключиться к Центру удостоверений AWS IAM.

   

7. В поле Электронная почта для уведомлений введите адрес электронной почты пользователя или группы, которые должны получать уведомления об ошибках подготовки, а также установите флажок Отправить уведомление по электронной почте при сбое.

   

8. Выберите Сохранить.

9. В разделе "Сопоставления" выберите "Синхронизировать пользователей Microsoft Entra" с ЦЕНТРОМ удостоверений AWS IAM.

10. Просмотрите атрибуты пользователя, синхронизированные с идентификатором Microsoft Entra с ЦЕНТРОМ удостоверений AWS IAM, в разделе "Сопоставление атрибутов". Атрибуты, выбранные как соответствующие свойства, используются для сопоставления учетных записей пользователей в AWS IAM Identity Center при операциях обновления. Если вы решили изменить соответствующий целевой атрибут, необходимо убедиться, что API Центра удостоверений AWS IAM поддерживает фильтрацию пользователей на основе этого атрибута. Нажмите кнопку Сохранить, чтобы зафиксировать все изменения.

    Атрибут	Тип	Поддерживается для фильтрации
    userName	Строка	✓
    active	Логический
    displayName	Строка
    title	Строка
    emails[type eq "work"].value	Строка
    preferredLanguage	Строка
    name.givenName	Строка
    name.familyName	Строка
    name.formatted	Строка
    addresses[type eq "work"].formatted	Строка
    addresses[type eq "work"].streetAddress	Строка
    addresses[type eq "work"].locality	Строка
    addresses[type eq "work"].region	Строка
    addresses[type eq "work"].postalCode	Строка
    addresses[type eq "work"].country	Строка
    phoneNumbers[type eq "work"].value	Строка
    externalId	Строка
    локаль	Строка
    timezone	Строка
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber	Строка
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department	Строка
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division	Строка
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:costCenter	Строка
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization	Строка
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager	Справочные материалы

11. В разделе "Сопоставления" выберите "Синхронизировать группы Microsoft Entra" с Центром удостоверений AWS IAM.

12. Просмотрите атрибуты группы, синхронизированные с идентификатором Microsoft Entra с ЦЕНТРОМ удостоверений AWS IAM, в разделе "Сопоставление атрибутов". Атрибуты, выбранные как свойства с меткой Сопоставление, используются для сопоставления групп в AWS IAM Identity Center при операциях обновления. Нажмите кнопку Сохранить, чтобы зафиксировать все изменения.

    Атрибут	Тип	Поддерживается для фильтрации
    displayName	Строка	✓
    externalId	Строка
    members	Справочные материалы

13. Чтобы настроить фильтры области, ознакомьтесь со следующими инструкциями, предоставленными в руководстве по фильтрам области.

14. Чтобы включить службу подготовки Microsoft Entra для Центра удостоверений AWS IAM, измените состояние подготовки на "Включено" в разделе Параметры.

    

15. Определите пользователей и (или) группы для подготовки в AWS IAM Identity Center, выбрав нужные значения в поле Область в разделе Параметры.

    

16. Когда будете готовы выполнить подготовку, нажмите кнопку Сохранить.

    

После этого начнется цикл начальной синхронизации всех пользователей и групп, определенных в поле Область в разделе Параметры. Начальный цикл занимает больше времени, чем последующие циклы, которые происходят примерно каждые 40 минут до запуска службы подготовки Microsoft Entra.

Шаг 6. Мониторинг развертывания

После настройки подготовки используйте следующие ресурсы для мониторинга развертывания:

1. Используйте журналы подготовки, чтобы определить, какие пользователи были подготовлены успешно или неудачно
2. Используйте индикатор выполнения, чтобы узнать состояние цикла подготовки и приблизительное время до его завершения.
3. Если конфигурация подготовки находится в неработоспособном состоянии, приложение перейдет в режим карантина. Дополнительные сведения о режимах карантина см. здесь.

JIT-доступ к приложению с помощью PIM для групп

С помощью PIM для групп вы можете предоставить JIT-доступ к группам в Amazon Web Services и сократить количество пользователей, имеющих постоянный доступ к привилегированным группам в AWS.

Настройка корпоративного приложения для единого входа и подготовки

1. Добавьте центр удостоверений AWS IAM в клиент, настройте его для подготовки, как описано в приведенном выше руководстве, и запустите подготовку.
2. Настройка единого входа в AWS IAM Identity Center.
3. Создайте группу, которая предоставит всем пользователям доступ к приложению.
4. Назначьте группу приложению Центра удостоверений AWS.
5. Назначьте тестового пользователя в качестве прямого члена группы, созданной на предыдущем шаге, или предоставьте им доступ к группе через пакет доступа. Эту группу можно использовать для постоянного, неадминистрационного доступа в AWS.

Включение PIM для групп

1. Создайте вторую группу в идентификаторе Microsoft Entra. Эта группа предоставит доступ к разрешениям администратора в AWS.
2. Доведите группу под управлением в Microsoft Entra PIM.
3. Назначьте тестового пользователя право на группу в PIM с набором ролей участником.
4. Назначьте вторую группу приложению Центра удостоверений AWS IAM.
5. Используйте подготовку по запросу для создания группы в Центре удостоверений AWS IAM.
6. Войдите в Центр удостоверений AWS IAM и назначьте вторую группу необходимых разрешений для выполнения задач администратора.

Теперь любой конечный пользователь, который был разрешен для группы в PIM, может получить JIT-доступ к группе в AWS, активировав членство в группе.

Основные рекомендации

• Сколько времени требуется для подготовки пользователя к приложению?:
  • Когда пользователь добавляется в группу в идентификаторе Microsoft Entra ID за пределами активации членства в группе с помощью идентификатора Microsoft Entra ID управление привилегированными пользователями (PIM):
    • Членство в группе подготавливается в приложении во время следующего цикла синхронизации. Цикл синхронизации выполняется каждые 40 минут.
  • Когда пользователь активирует членство в группе в PIM идентификатора Microsoft Entra ID:
    • Членство в группе подготавливается в течение 2–10 минут. При наличии высокой частоты запросов в один раз запросы регулируются с частотой 5 запросов в 10 секунд.
    • Для первых пяти пользователей в течение 10-секундного периода активации членства в группе для определенного приложения членство в группах подготавливается в приложении в течение 2–10 минут.
    • Для шестого пользователя и выше в течение 10-секундного периода активации членства в группе для определенного приложения членство в группе подготавливается к приложению в следующем цикле синхронизации. Цикл синхронизации выполняется каждые 40 минут. Ограничения регулирования относятся к корпоративному приложению.
• Если пользователю не удается получить доступ к необходимой группе в AWS, просмотрите приведенные ниже советы по устранению неполадок, журналы PIM и журналы подготовки, чтобы убедиться, что членство в группе было успешно обновлено. В зависимости от того, как было разработано целевое приложение, может потребоваться дополнительное время для вступления в силу членства в группе в приложении.
• Вы можете создавать оповещения о сбоях с помощью Azure Monitor.
• Деактивация выполняется во время регулярного добавочного цикла. Он не обрабатывается немедленно с помощью подготовки по запросу.

Советы по устранению неполадок

Отсутствующие атрибуты

При подготовке пользователя в AWS они должны иметь следующие атрибуты.

• firstName
• lastName
• displayName
• userName

Если у пользователя нет этих атрибутов, процесс будет завершаться следующей ошибкой

Многозначные атрибуты

AWS не поддерживает следующие многозначные атрибуты:

• эл. почта
• номера телефонов;

При попытке передать многозначные значения для таких атрибутов будет возникать следующее сообщение об ошибке:

Эту ситуацию можно решить двумя способами

1. Убедитесь, что у пользователя есть только одно значение для атрибутов номера телефона и адреса электронной почты.
2. Удалите дублирующиеся значения этих атрибутов. Например, наличие двух различных атрибутов, сопоставленных с идентификатором Microsoft Entra ID, сопоставленным с "phoneNumber___" на стороне AWS, приведет к ошибке, если оба атрибута имеют значения в идентификаторе Microsoft Entra. Такую ошибку можно устранить, только ограничив сопоставление поля "phoneNumber____" одним атрибутом.

Недопустимые знаки

В настоящее время Центр удостоверений AWS IAM не позволяет использовать некоторые другие символы, поддерживаемые идентификатором Microsoft Entra, например tab (\t), новой строкой (\n), возвращаемой каретки (\r) и символами, такими как " <||>;|:%".

Дополнительные советы по устранению неполадок с AWS IAM Identity Center см. здесь.

Дополнительные ресурсы

• Управление подготовкой учетных записей пользователей для корпоративных приложений
• Что такое доступ к приложениям и Центр удостоверений IAM с идентификатором Microsoft Entra?

Следующие шаги

• Сведения о просмотре журналов и получении отчетов о действиях по подготовке