將 AWS IAM 身分識別中心設定為識別提供者 (預覽)
如果您是使用 AWS IAM 身分識別中心的 Amazon Web Services (AWS) 客戶,您可以在許可權管理中將身分識別中心設定為識別提供者。 設定 AWS IAM 身分識別中心資訊可讓您在許可權管理中接收更精確的身分識別數據。
注意
將 AWS IAM 身分識別中心設定為識別提供者是選擇性步驟。 藉由設定身分識別提供者資訊,許可權管理可以讀取在AWS IAM身分識別中心設定的使用者和角色存取權。 管理員 可以看到已指派許可權對身分識別的增強檢視。 您可以返回這些步驟,隨時設定IdP。
如何將 AWS IAM 身分識別中心設定為識別提供者
如果 [數據收集器] 儀錶板未在 [許可權管理] 啟動時顯示,請選取 [設定 [齒輪] 圖示,然後選取 [數據收集器] 子索引卷標。
在 [ 數據收集器 ] 儀錶板上,選取 [AWS],然後選取 [ 建立組態]。 如果 AWS 帳戶中已經有資料收集器,而且您想要新增 AWS IAM 整合,則:
- 選取您要設定 AWS IAM 的數據收集器。
- 按兩下 [授權系統狀態] 旁的省略號。
- 選取 [整合識別提供者]。
在 [整合識別提供者 (IdP)] 頁面上,選取 AWS IAM 身分識別中心的方塊。
填寫下列欄位:
- AWS IAM 身分識別中心區域。 指定安裝 AWS IAM 身分識別中心的區域。 IAM 身分識別中心設定的所有數據
會儲存在安裝 IAM 身分識別中心的區域中。 - 您的 AWS 管理帳戶標識碼
- 您的 AWS 管理帳戶角色
- AWS IAM 身分識別中心區域。 指定安裝 AWS IAM 身分識別中心的區域。 IAM 身分識別中心設定的所有數據
選取 [ 啟動管理帳戶範本]。 範本會在新的視窗中開啟。
如果使用 CloudFormation 範本建立管理帳戶堆疊,作為先前上線步驟的一部分,請執行
EnableSSO
為 true 來更新堆疊。 執行此命令會在執行管理帳戶範本時建立新的堆疊。
範本執行會將 AWS 受控原則AWSSSOReadOnly
和新建立的自定義原則SSOPolicy
附加至 AWS IAM 角色,讓 Microsoft Entra 權限管理 收集組織資訊。 範本中會要求下列詳細數據。 所有欄位都會預先填入,您可以視需要編輯資料:
堆疊名稱 – Stack 名稱是 AWS 堆疊的名稱,用於建立許可權管理所需的 AWS 資源來收集組織資訊。 預設值是
mciem-org-<tenant-id>
。CFT 參數
OIDC 提供者角色名稱 – 可擔任角色的 IAM 角色 OIDC 提供者名稱。 預設值為 OIDC 帳戶角色(如許可權管理中所輸入)。
組織帳戶角色名稱 - IAM 角色的名稱。 默認值會預先填入管理帳戶角色名稱(如 Microsoft Entra PM 中所輸入)。
true – 啟用 AWS SSO。 預設值是
true
從 [設定識別提供者] 頁面啟動範本時,否則預設值為false
。OIDC 提供者帳戶標識碼 – 建立 OIDC 提供者的帳戶標識碼。 預設值為 OIDC 提供者帳戶標識碼(如許可權管理中所輸入)。
租使用者標識碼 – 建立應用程式之租用戶的標識碼。 預設值為
tenant-id
(已設定的租使用者)。
按兩下 [下一步 ] 以檢閱並確認您已輸入的資訊。
按兩下 [立即驗證] 和 [ 儲存]。
下一步
- 如需如何附加和卸離 AWS 身分識別許可權的資訊,請參閱 附加和卸離 AWS 身分識別的原則。