Öğretici: AWS IAM Identity Center'ı otomatik kullanıcı sağlama için yapılandırma

  • Makale

Bu öğreticide, otomatik kullanıcı sağlamayı yapılandırmak için aws IAM Kimlik Merkezi'nde (AWS çoklu oturum açmanın ardı) ve Microsoft Entra Id'de gerçekleştirmeniz gereken adımlar açıklanmaktadır. Yapılandırıldığında, Microsoft Entra Id, Microsoft Entra sağlama hizmetini kullanarak aws IAM Kimlik Merkezi'ne kullanıcı ve grupları otomatik olarak sağlar ve sağlamasını geri alır. Bu hizmetin ne yaptığı, nasıl çalıştığı ve sık sorulan sorular hakkında önemli ayrıntılar için bkz . Microsoft Entra Id ile SaaS uygulamalarına kullanıcı sağlamayı ve sağlamayı kaldırmayı otomatikleştirme.

Desteklenen Özellikler

  • AWS IAM Kimlik Merkezi'nde kullanıcı oluşturma
  • Aws IAM Kimlik Merkezi'nde artık erişim gerektirmeyen kullanıcıları kaldırma
  • Microsoft Entra Id ile AWS IAM Kimlik Merkezi arasında kullanıcı özniteliklerinin eşitlenmesini sağlayın
  • AWS IAM Kimlik Merkezi'nde grup ve grup üyelikleri sağlama
  • IAM Kimlik Merkezi'ne AWS IAM Kimlik Merkezi

Önkoşullar

Bu öğreticide özetlenen senaryo, aşağıdaki önkoşullara zaten sahip olduğunuzu varsayar:

  • Microsoft Entra kiracısı
  • Microsoft Entra ID'de sağlamayı yapılandırma iznine sahip bir kullanıcı hesabı (örneğin, Uygulama Yönetici istrator, Bulut Uygulaması yöneticisi, Uygulama Sahibi veya Genel Yönetici istrator).
  • Öğretici'de açıklandığı gibi, Microsoft Entra hesabınızdan AWS IAM Kimlik Merkezi'ne SAML bağlantısı

1. Adım: Sağlama dağıtımınızı planlama

  1. Hazırlama hizmetinin nasıl çalıştığı hakkında bilgi edinin.
  2. Sağlama kapsamında kimlerin olduğunu belirleyin.
  3. Microsoft Entra Id ile AWS IAM Kimlik Merkezi arasında hangi verilerin eşleneceğini belirleyin.

2. Adım: AWS IAM Identity Center'ı Microsoft Entra Id ile sağlamayı destekleyecek şekilde yapılandırma

  1. AWS IAM Kimlik Merkezi'ni açın.

  2. Sol gezinti bölmesinde Ayarlar seçin

  3. Ayarlar'da, Otomatik sağlama bölümünde Etkinleştir'e tıklayın.

    Screenshot of enabling automatic provisioning.

  4. Gelen otomatik sağlama iletişim kutusunda SCIM uç noktasını ve Erişim Belirtecini kopyalayıp kaydedin (Belirteci Göster'e tıkladıktan sonra görünür). Bu değerler, AWS IAM Kimlik Merkezi uygulamanızın Sağlama sekmesindeki Kiracı URL'si ve Gizli Belirteç alanına girilir. Screenshot of extracting provisioning configurations.

AWS IAM Kimlik Merkezi'ne sağlamayı yönetmeye başlamak için Microsoft Entra uygulama galerisinden AWS IAM Kimlik Merkezi'ni ekleyin. SSO için AWS IAM Kimlik Merkezi'ni daha önce ayarladıysanız aynı uygulamayı kullanabilirsiniz. Galeriden uygulama ekleme hakkında daha fazla bilgi için buraya bakın.

4. Adım: Sağlama kapsamında kimlerin olduğunu tanımlama

Microsoft Entra sağlama hizmeti, uygulamaya atamaya göre veya kullanıcının /grubun özniteliklerine göre sağlananların kapsamını belirlemenizi sağlar. Atamaya göre uygulamanıza kimlerin sağlandığına yönelik kapsam kullanmayı seçerseniz, uygulamaya kullanıcı ve grup atamak için aşağıdaki adımları kullanabilirsiniz. Yalnızca kullanıcı veya grubun özniteliklerine göre sağlananların kapsamını belirlemeyi seçerseniz, burada açıklandığı gibi bir kapsam filtresi kullanabilirsiniz.

  • Başlangıçta kapsamı sınırlı tutun. Herkesi hazırlamadan önce birkaç kullanıcı ve grupla test yapın. Hazırlama kapsamı atanan kullanıcılar ve gruplar olarak ayarlandığında uygulamaya bir veya iki kullanıcı ya da grup atayarak bu adımı kontrol edebilirsiniz. Kapsam tüm kullanıcılar ve gruplar olarak ayarlandığında öznitelik tabanlı kapsam filtresi belirtebilirsiniz.

  • Ek rollere ihtiyacınız varsa, yeni roller eklemek için uygulama bildirimini güncelleştirebilirsiniz.

5. Adım: AWS IAM Kimlik Merkezi'ne otomatik kullanıcı sağlamayı yapılandırma

Bu bölüm, Microsoft Entra Id'deki kullanıcı ve/veya grup atamalarına göre TestApp'te kullanıcıları ve/veya grupları oluşturmak, güncelleştirmek ve devre dışı bırakmak için Microsoft Entra sağlama hizmetini yapılandırma adımlarında size yol gösterir.

Microsoft Entra Id'de AWS IAM Kimlik Merkezi için otomatik kullanıcı sağlamayı yapılandırmak için:

  1. Microsoft Entra yönetim merkezinde en az Bulut Uygulaması Yönetici istrator olarak oturum açın.

  2. Kimlik>Uygulamaları>Kurumsal uygulamalarına göz atın

    Enterprise applications blade

  3. Uygulamalar listesinde AWS IAM Kimlik Merkezi'ni seçin.

    Screenshot of the AWS IAM Identity Center link in the Applications list.

  4. Hazırlama sekmesini seçin.

    Provisioning tab

  5. Hazırlama Modu'nu Otomatik olarak ayarlayın.

    Provisioning tab automatic

  6. Yönetici Kimlik Bilgileri bölümünde, 2. Adımda daha önce alınan AWS IAM Kimlik Merkezi Kiracı URL'nizi ve Gizli Belirteç'inizi girin. Microsoft Entra Id'nin AWS IAM Kimlik Merkezi'ne bağlanadığından emin olmak için test Bağlan ion'a tıklayın.

    Token

  7. Bildirim E-postası alanına hazırlama hatası bildirimlerinin gönderilmesini istediğiniz kişinin veya grubun e-posta adresini yazıp Hata oluştuğunda e-posta bildirimi gönder onay kutusunu seçin.

    Notification Email

  8. Kaydet'i seçin.

  9. Eşlemeler bölümünde Microsoft Entra kullanıcılarını AWS IAM Kimlik Merkezi ile eşitle'yi seçin.

  10. Öznitelik Eşleme bölümünde Microsoft Entra ID'den AWS IAM Kimlik Merkezi'ne eşitlenen kullanıcı özniteliklerini gözden geçirin. Eşleştirme özellikleri olarak seçilen öznitelikler, güncelleştirme işlemleri için AWS IAM Kimlik Merkezi'ndeki kullanıcı hesaplarıyla eşleştirmek için kullanılır. Eşleşen hedef özniteliği değiştirmeyi seçerseniz AWS IAM Kimlik Merkezi API'sinin kullanıcıları bu özniteliğe göre filtrelemeyi desteklediğinden emin olmanız gerekir. Değişiklikleri kaydetmek için Kaydet düğmesini seçin.

    Öznitelik Tür Filtreleme için desteklenir
    userName String
    active Boolean
    displayName String
    Başlık String
    emails[type eq "work"].value String
    preferredLanguage String
    name.givenName String
    name.familyName String
    name.formatted String
    addresses[type eq "work"].formatted String
    addresses[type eq "work"].streetAddress String
    addresses[type eq "work"].locality String
    addresses[type eq "work"].region String
    addresses[type eq "work"].postalCode String
    addresses[type eq "work"].country String
    phoneNumbers[type eq "work"].value String
    externalId String
    yerel ayar String
    timezone String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:costCenter String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager Başvuru

  11. Eşlemeler bölümünde Microsoft Entra gruplarını AWS IAM Kimlik Merkezi ile eşitle'yi seçin.

  12. Öznitelik Eşleme bölümünde Microsoft Entra ID'den AWS IAM Kimlik Merkezi'ne eşitlenen grup özniteliklerini gözden geçirin. Eşleştirme özellikleri olarak seçilen öznitelikler, güncelleştirme işlemleri için AWS IAM Kimlik Merkezi'ndeki grupları eşleştirmek için kullanılır. Değişiklikleri kaydetmek için Kaydet düğmesini seçin.

    Öznitelik Tür Filtreleme için desteklenir
    displayName String
    externalId String
    üyeler Başvuru

  13. Kapsam belirleme filtrelerini yapılandırmak için Kapsam belirleme filtresi öğreticisi ile sunulan yönergeleri izleyin.

  14. AWS IAM Kimlik Merkezi için Microsoft Entra sağlama hizmetini etkinleştirmek için Ayarlar bölümünde Sağlama Durumu'nu Açık olarak değiştirin.

    Provisioning Status Toggled On

  15. Ayarlar bölümünde Kapsam'ta istenen değerleri seçerek AWS IAM Kimlik Merkezi'ne sağlamak istediğiniz kullanıcıları ve/veya grupları tanımlayın.

    Provisioning Scope

  16. Sağlamaya hazır olduğunuzda Kaydet'e tıklayın.

    Saving Provisioning Configuration

Bu işlem, Ayarlar bölümündeki Kapsam alanında tanımlanan tüm kullanıcılar ve gruplar için ilk eşitleme döngüsünü başlatır. İlk döngünün gerçekleştirilmesi, Microsoft Entra sağlama hizmeti çalıştığı sürece yaklaşık 40 dakikada bir gerçekleşen sonraki döngülerden daha uzun sürer.

6. Adım: Dağıtımınızı izleme

Sağlamayı yapılandırdıktan sonra dağıtımınızı izlemek için aşağıdaki kaynakları kullanın:

  1. Hangi kullanıcıların başarıyla veya başarısız bir şekilde sağlandığını belirlemek için sağlama günlüklerini kullanın
  2. Hazırlama döngüsünün durumunu ve tamamlanması için kalan miktarı görmek için ilerleme çubuğuna bakın
  3. Sağlama yapılandırması iyi durumda değilse, uygulama karantinaya alınır. Karantina durumu hakkında daha fazla bilgi edinmek için buraya bakın.

Gruplar için PIM ile tam zamanında (JIT) uygulama erişimi

Gruplar için PIM ile Amazon Web Services'teki gruplara tam zamanında erişim sağlayabilir ve AWS'deki ayrıcalıklı gruplara kalıcı erişimi olan kullanıcı sayısını azaltabilirsiniz.

Kurumsal uygulamanızı SSO ve sağlama için yapılandırma

  1. Aws IAM Kimlik Merkezi'ni kiracınıza ekleyin, yukarıdaki öğreticide açıklandığı gibi sağlama için yapılandırın ve sağlamayı başlatın.
  2. AWS IAM Kimlik Merkezi için çoklu oturum açmayı yapılandırın.
  3. Tüm kullanıcılara uygulamaya erişim sağlayacak bir grup oluşturun.
  4. Grubu AWS Identity Center uygulamasına atayın.
  5. Test kullanıcınızı önceki adımda oluşturulan grubun doğrudan üyesi olarak atayın veya bir erişim paketi aracılığıyla gruba erişim sağlayın. Bu grup, AWS'de kalıcı, yönetici olmayan erişim için kullanılabilir.

Gruplar için PIM'i etkinleştirme

  1. Microsoft Entra Id'de ikinci bir grup oluşturun. Bu grup AWS'deki yönetici izinlerine erişim sağlayacaktır.
  2. Microsoft Entra PIM'de grubu yönetim altına getirin.
  3. PiM'de rol üye olarak ayarlanmış grup için uygun olarak test kullanıcınızı atayın.
  4. İkinci grubu AWS IAM Kimlik Merkezi uygulamasına atayın.
  5. GRUBU AWS IAM Kimlik Merkezi'nde oluşturmak için isteğe bağlı sağlamayı kullanın.
  6. AWS IAM Kimlik Merkezi'nde oturum açın ve ikinci gruba yönetici görevlerini gerçekleştirmek için gerekli izinleri atayın.

Artık PIM'de gruba uygun hale gelen tüm son kullanıcılar, grup üyeliklerini etkinleştirerek AWS'de gruba JIT erişimi elde edebilir.

Dikkat edilmesi gereken temel konular

  • Bir kullanıcının uygulamaya sağlanması ne kadar sürer?:
    • Kullanıcı, Microsoft Entra Id Privileged Identity Management (PIM) kullanarak grup üyeliğini etkinleştirme dışında Microsoft Entra ID'deki bir gruba eklendiğinde:
      • Grup üyeliği, bir sonraki eşitleme döngüsü sırasında uygulamada sağlanır. Eşitleme döngüsü her 40 dakikada bir çalışır.
    • Kullanıcı Microsoft Entra ID PIM'de grup üyeliğini etkinleştirdiğinde:
      • Grup üyeliği 2 - 10 dakika içinde sağlanır. Bir kerede yüksek istek oranı olduğunda, istekler 10 saniyede beş istek hızında kısıtlanır.
      • Belirli bir uygulama için grup üyeliklerini etkinleştiren 10 saniyelik bir süre içindeki ilk beş kullanıcı için, 2-10 dakika içinde uygulamada grup üyeliği sağlanır.
      • Belirli bir uygulama için grup üyeliğini etkinleştiren 10 saniyelik bir süre içinde altıncı kullanıcı ve üzeri için, grup üyeliği bir sonraki eşitleme döngüsünde uygulamaya sağlanır. Eşitleme döngüsü her 40 dakikada bir çalışır. Azaltma sınırları kurumsal uygulama başınadır.
  • Kullanıcı AWS'de gerekli gruba erişemezse, grup üyeliğinin başarıyla güncelleştirildiğinden emin olmak için aşağıdaki sorun giderme ipuçlarını, PIM günlüklerini ve sağlama günlüklerini gözden geçirin. Hedef uygulamanın nasıl tasarlandığına bağlı olarak, grup üyeliğinin uygulamada etkili olması ek zaman alabilir.
  • Azure İzleyici kullanarak hatalar için uyarılar oluşturabilirsiniz.
  • Devre dışı bırakma işlemi normal artımlı döngü sırasında yapılır. İsteğe bağlı sağlama yoluyla hemen işlenmez.

Sorun Giderme İpuçları

Eksik öznitelikler

Aws'ye kullanıcı sağlarken aşağıdaki özniteliklere sahip olması gerekir

  • firstName
  • lastName
  • displayName
  • userName

Bu özniteliklere sahip olmayan kullanıcılar aşağıdaki hatayla başarısız olur

errorcode

Çok değerli öznitelikler

AWS aşağıdaki çok değerli öznitelikleri desteklemez:

  • e-posta
  • telefon numaraları

Yukarıdakileri çok değerli öznitelikler olarak akışa almaya çalışmak aşağıdaki hata iletisiyle sonuçlanır

errorcode2

Bu sorunu çözmenin iki yolu vardır

  1. Kullanıcının phoneNumber/email için yalnızca bir değeri olduğundan emin olun
  2. Yinelenen öznitelikleri kaldırın. Örneğin, her iki özniteliğin de AWS tarafında "phoneNumber___" ile eşlenen Microsoft Entra Id'den eşlenen iki farklı özniteliğin olması, her iki özniteliğin de Microsoft Entra ID'de değerleri varsa hataya neden olur. "phoneNumber____" özniteliğine eşlenmiş yalnızca bir özniteliğin olması hatayı çözebilir.

Geçersiz karakterler

Şu anda AWS IAM Kimlik Merkezi, Microsoft Entra Id'nin desteklediği sekme (\t), yeni satır (\n), dönüş satırı (\r) ve " |>|;|:% " <gibi başka karakterlere izin vermiyor.

Daha fazla sorun giderme ipucu için aws IAM Kimlik Merkezi sorun giderme ipuçlarına buradan da göz atabilirsiniz

Ek kaynaklar

Sonraki adımlar