- AWS Identity and Access Management (IAM)›
- IAM Identity Center›
- Häufig gestellte Fragen
Häufig gestellte Fragen zu AWS IAM Identity Center
Unterstützung für Identitätsquellen und Anwendungen
Muss ich auf einmal zu IAM Identity Center migrieren oder kann ich das schrittweise tun?
Nach der Aktivierung von IAM Identity Center funktionieren alle bestehenden IAM-Rollen oder -Benutzer unverändert weiter. Das bedeutet, dass Sie schrittweise zu IAM Identity Center migrieren können, ohne den bestehenden Zugriff auf AWS zu unterbrechen.
Wie migriere ich bestehende Rollen zu IAM Identity Center?
IAM Identity Center stellt neue Rollen für die Verwendung in Ihren AWS-Konten bereit. Sie können dieselben Richtlinien, die Sie für Ihre bestehenden IAM-Rollen verwenden, den neuen Rollen beifügen, die Sie mit IAM Identity Center verwenden.
Erstellt IAM-Identity-Center-IAM-Benutzer und -Gruppen in meinen AWS-Konten?
IAM Identity Center erstellt keine IAM-Benutzer und -Gruppen. IAM Identity Center verfügt über einen eigenen, speziell entwickelten Identitätsspeicher für Benutzerinformationen. Wenn Sie einen externen Identitätsanbieter verwenden, enthält Identity Center eine synchronisierte Kopie der Benutzerattribute und der Gruppenmitgliedschaft, aber kein Authentifizierungsmaterial wie Passwörter oder MFA-Geräte. Ihr externer Identitätsanbieter bleibt die Quelle der Wahrheit für Benutzerinformationen und -attribute.
Kann ich die Identitätssynchronisierung im IAM Identity Center automatisieren?
Ja. Wenn Sie Okta Universal Directory, Microsoft Entra ID (ehemals Azure AD), OneLogin oder PingFederate verwenden, können Sie SCIM zur automatischen Benutzer- und Gruppeninformationssynchronisierung zwischen Ihrem IdP und IAM Identity Center verwenden. Weitere Informationen finden Sie im IAM-Identity-Center-Benutzerhandbuch.
Wie verbinde ich IAM Identity Center mit meinem Microsoft Active Directory?
Sie können IAM Identity Center mithilfe eines AWS Directory Service mit Ihrem lokal installierten Active Directory (AD) oder mit einem AWS Managed Microsoft AD AWS Directory Service verbinden. Weitere Informationen finden Sie im IAM-Identity-Center-Benutzerhandbuch.
Ich verwalte Benutzer und Gruppen in einem lokal installierten Active Directory. Wie kann ich diese Benutzer und Gruppen in IAM Identity Center nutzen?
Es gibt zwei Möglichkeiten, um ein lokal gehostetes Active Directory mit IAM Identity Center zu verbinden: (1) per AD Connector oder (2) über eine AWS Managed Microsoft AD-Vertrauensstellung. AD Connector verbindet Ihren bestehenden lokal installierten Active Directory mit AWS. AD Connector ist ein Verzeichnis-Gateway, das Verzeichnisanforderungen an Ihr lokales Microsoft Active Directory weiterleiten kann, ohne dazu Informationen in der Cloud zwischenzuspeichern. Informationen zur Verbindung eines lokal vorhandenen AD Connectors erhalten Sie im AWS-Directory-Service-Administrationshandbuch. Mit AWS Managed Microsoft AD ist es ganz einfach, Microsoft Active Directory in AWS zu nutzen. Es kann dazu verwendet werden, eine Gesamtstruktur-Vertrauensstellung zwischen Ihrem lokal installierten Verzeichnis und AWS Managed Microsoft AD einzurichten. Informationen zur Einrichtung einer Vertrauensstellung erhalten Sie im AWS-Directory-Service-Administrationshandbuch.
Kann ich meine Amazon-Cognito-Benutzerpools als Identitätsquelle in IAM Identity Center verwenden?
Amazon Cognito ist ein Service, mit dem Sie Identitäten für Ihre kundenspezifischen Anwendungen verwalten können; es handelt sich nicht um eine unterstützte Identitätsquelle in IAM Identity Center. Sie können Ihre Workforce-Identitäten in IAM Identity Center oder in Ihrer externen Identitätsquelle erstellen und verwalten, so etwa Microsoft Active Directory, Okta Universal Directory, Microsoft Entra ID (ehemals Azure AD) odereinem anderen unterstützten IdP.
Unterstützt IAM Identity Center Browser-, Befehlszeilen- und Mobilgeräte-Schnittstellen?
Ja. Sie können IAM Identity Center verwenden, um Zugriff zur AWS-Managementkonsole und CLI v2 zu erhalten. IAM Identity Center ermöglicht es Ihren Nutzern, per Single Sign-On auf die CLI und die AWS-Managementkonsole zuzugreifen. Die AWS Mobile Console-App unterstützt ebenfalls IAM Identity Center, sodass überall eine konsistente Anmeldung möglich ist, ob Browser, Mobilgerät oder CLI.
Zu welchen Cloud-basierten Anwendungen kann ich mit IAM Identity Center eine Verbindung herstellen?
Sie können die folgenden Anwendungen an IAM Identity Center anbinden:
IAM-Identity-Center-integrierte Anwendungen: IAM Identity-Center-integrierte Anwendungen wie SageMaker Studio und IoT SiteWise nutzen IAM Identity Center zur Authentifizierung und zur Arbeit mit Ihren Identitäten in IAM Identity Center. Es ist keine zusätzliche Konfiguration erforderlich, um Identitäten in diesen Anwendungen zu synchronisieren oder den Verbund separat einzurichten.
Vorintegrierte SAML-Anwendungen: IAM Identity Center wird mit Integrationen für die gebräuchlichsten Geschäftsanwendungen ausgeliefert. Eine umfassende Liste finden Sie in der IAM-Identity-Center-Konsole.
Benutzerdefinierte SAML-Anwendungen: IAM Identity Center unterstützt Anwendungen, die Identitätsverbund mit SAML 2.0 ermöglichen. Sie können IAM Identity Center aktivieren, damit diese Anwendungen mithilfe des benutzerdefinierten Anwendungsassistenten unterstützt werden.
Single-Sign-On-Zugriff auf AWS-Konten
Welche AWS-Konten kann ich mit dem IAM Identity Center verbinden?
Sie können jedes beliebige AWS-Konto, das per AWS Organizations verwaltet wird, zu IAM Identity Center hinzufügen. Um Single Sign-On für Ihre Konten zu verwalten, müssen Sie alle Funktionen in Ihren Organisationen aktivieren.
Wie richte ich Single Sign-On für AWS-Konten in einer Organisationseinheit (OU) innerhalb meiner Organisation ein?
Sie können Konten innerhalb der Organisation auswählen oder Konten nach der Organisationseinheit filtern.
Was ist vertrauenswürdige Identitätsverbreitung?
Die Weitergabe vertrauenswürdiger Identitäten basiert auf dem OAuth 2.0 Authorization Framework, das es Anwendungen ermöglicht, im Namen eines bestimmten Benutzers auf Daten und andere Ressourcen zuzugreifen, ohne die Anmeldeinformationen dieses Benutzers weiterzugeben. Diese Funktion von IAM Identity Center vereinfacht die Datenzugriffsverwaltung für Benutzer, die Prüfung und verbessert das Anmeldeerlebnis für Analytics-Benutzer in mehreren AWS-Analyseanwendungen.
Warum sollte ich vertrauenswürdige Identitätsverbreitung verwenden?
Ressourcen- und Datenbankadministratoren können den Zugriff auf ihre Ressourcen auf einer detaillierten Benutzer- und Gruppenmitgliedschaftsebene definieren. Prüfer können Benutzeraktionen in miteinander verbundenen Business Intelligence- und Datenanalyseanwendungen überprüfen. Benutzer von Business-Intelligence-Anwendungen können sich einmalig authentifizieren, um auf AWS-Datenquellen zuzugreifen. Vertrauenswürdige Identitätspropagation hilft Kunden dabei, die Anforderungen für den Zugriff auf Daten mit geringsten Rechten in Analyse-Workflows zu erfüllen, die mehrere Anwendungen und AWS-Services umfassen, wie Amazon Redshift, Amazon S3, Amazon Quicksight, Amazon Athena und AWS LakeFormation.
Was sind die allgemeinen Anwendungsfälle für die Weitergabe vertrauenswürdiger Identitäten?
Trusted Identity Propagation wird hauptsächlich verwendet, um Business-Intelligence-Anwendungen (BI) in die Lage zu versetzen, AWS-Analyseservices wie Amazon Redshift oder Amazon Quicksight nach Daten abzufragen, die von Geschäftsanwendern mit einer einzigen Benutzeranmeldung über den bestehenden Identitätsanbieter des Kunden benötigt werden, während gleichzeitig die Identität des Benutzers gewahrt bleibt. Die Funktion unterstützt verschiedene Arten häufig verwendeter BI-Anwendungen und verwendet unterschiedliche Mechanismen, um die Identität des Benutzers zwischen Diensten zu übertragen.
Wie kontrolliere ich, welche Berechtigungen meine Benutzer erhalten, wenn sie IAM Identity Center für den Zugriff auf ihre Konten verwenden?
Beim Erteilen von Zugriff für Ihre Benutzer können Sie deren Zugriffsmöglichkeiten einschränken, indem Sie entsprechende Berechtigungen aus einem Berechtigungssatz auswählen. Berechtigungssätze sind eine Zusammenstellung von Berechtigungen, die Sie in IAM Identity Center erstellen können. Deren Gestaltung erfolgt nach AWS-verwalteten Richtlinien für bestimmte berufliche Funktionen oder nach beliebigen AWS-verwalteten Richtlinien. AWS-verwaltete Richtlinien für berufliche Funktionen sind so weit wie möglich für gängige berufliche Positionen in der IT-Branche ausgelegt. Falls erforderlich, können Sie den Berechtigungssatz vollständig an Ihre jeweiligen Sicherheitsanforderungen anpassen. IAM Identity Center wendet diese Berechtigungen automatisch auf die ausgewählten Konten an. Wenn Sie die Berechtigungssätze ändern, ermöglicht IAM Identity Center es Ihnen, die Änderungen problemlos für die entsprechenden Konten zu übernehmen. Wenn Ihre Benutzer über das AWS-Zugriffsportal auf die Konten zugreifen, schränken diese Berechtigungen ein, was für Aktionen die Benutzer innerhalb dieser Konten durchführen können. Sie können Ihren Benutzern auch mehrere Berechtigungssätze zuteilen. Beim Zugriff auf das Konto per Benutzerportal können Benutzer dann auswählen, welchen Berechtigungssatz sie für die jeweilige Sitzung übernehmen möchten.
Wie automatisiere ich die Berechtigungsverwaltung über mehrere Konten hinweg?
IAM Identity Center bietet Support von APIs und AWS CloudFormation, um die Verwaltung von Berechtigungen in Umgebungen mit mehreren Konten zu automatisieren und die Berechtigungen für Prüfungs- und Verwaltungs-Zwecke programmatisch abzurufen.
Wie wähle ich die Benutzerattribute für die Verwendung von ABAC aus?
Zur Nutzung von ABAC können Sie Attribute aus dem Identitätsspeicher von IAM Identity Center für IAM-Identity-Center-Benutzer und andere Benutzer auswählen, die über Microsoft AD oder externe SAML 2.0-IdPs wie Okta Universal Directory, Microsoft Entra ID (ehemals Azure AD), OneLogin oder PingFederate synchronisiert sind. Wenn ein IdP als Identitätsquelle verwendet wird, können Sie die Attribute optional als Teil einer SAML 2.0 Assertion übermitteln.
Für welche AWS-Konten erhalte ich Anmeldeinformationen für die AWS-CLI-Anmeldeinformationen?
Anmeldeinformationen für AWS CLI erhalten Sie für jedes AWS-Konto und alle Benutzerberechtigungen, die Ihnen Ihr IAM-Identity-Center-Administrator zugewiesen hat. Durch die CLI-Anmeldeinformationen erhalten Sie programmgesteuerten Zugriff auf Ihr AWS-Konto.
Wie lange sind die AWS-CLI-Anmeldeinformationen aus dem AWS-Zugangsportal gültig?
AWS CLI-Anmeldeinformationen aus dem IAM-Identity-Center sind 60 Minuten lang gültig. Neue Anmeldeinformationen können Sie jederzeit bei Bedarf anfordern.
Single-Sign-On-Zugriff für Geschäftsanwendungen
Wie richte ich IAM Identity Center für Geschäftsanwendungen ein, wie zum Beispiel für Salesforce ein?
Navigieren Sie in der IAM-Identity-Center-Konsole in den Bereich „Applications“ (Anwendungen), wählen Sie „Configure new application“ (Neue Anwendung konfigurieren), und wählen Sie dann eine Anwendung in der Liste der Cloud-Anwendungen aus, die bereits mit IAM Identity Center integriert sind. Folgen Sie beim Konfigurieren der Anwendung den eingeblendeten Anweisungen. Ihre Anwendung ist nun konfiguriert, und Sie können Zugriff darauf zuweisen. Wählen Sie die Benutzer oder Gruppen aus, denen Sie Zugriff auf die Anwendung erteilen möchten, und klicken Sie dann auf „Assign Access“ (Zugriff zuweisen), um den Vorgang abzuschließen.
In meinem Unternehmen werden Geschäftsanwendungen eingesetzt, die in der Liste der in IAM Identity Center vorab integrierten Anwendungen nicht aufgeführt sind. Kann ich dennoch IAM Identity Center verwenden?
Ja. Wenn Ihre Anwendung SAML 2.0 unterstützt, können Sie sie als benutzerdefinierte SAML 2.0-Anwendung konfigurieren. Navigieren Sie in der IAM-Identity-Center-Konsole in den Bereich "Applications" (Anwendungen), wählen Sie "Configure new application" (Neue Anwendung konfigurieren) aus, und wählen Sie dann "Custom SAML 2.0 application" (Benutzerdefinierte SAML 2.0-Anwendung) aus. Folgen Sie beim Konfigurieren der Anwendung den Anweisungen. Ihre Anwendung ist nun konfiguriert, und Sie können Zugriff darauf zuweisen. Wählen Sie die Benutzer oder Gruppen aus, denen Sie Zugriff auf die Anwendung erteilen möchten, und wählen Sie dann "Assign Access" (Zugriff zuweisen) aus, um den Vorgang abzuschließen.
Meine Anwendung unterstützt nur OpenID Connect (OIDC). Kann ich es mit IAM Identity Center verwenden?
Nein. IAM Identity Center unterstützt nur SAML-2.0-basierte Anwendungen.
Unterstützt IAM Identity Center Single-Sign-On für herkömmliche mobile und Desktop-Anwendungen?
Nein. IAM Identity Center unterstützt Single Sign-On nur für Geschäftsanwendungen, auf die über einen Webbrowser zugegriffen wird.
Verschiedenes
Welche Daten speichert IAM Identity Center in meinem Namen?
IAM Identity Center wird Daten darüber speichern, welche AWS-Konten und Cloud-Anwendungen welchen Benutzern und Gruppen zugewiesen sind und was für Berechtigungen für den Zugriff auf AWS-Konten erteilt wurden. Außerdem wird IAM Identity Center auch IAM-Rollen in individuellen AWS-Konten für jeden Berechtigungssatz erstellen, mit dem Sie Ihren Benutzern Zugriff erteilen.
Welche Multi-Faktor-Authentifizierungs-Funktionen (MFA) kann ich mit IAM Identity Center verwenden?
Dank IAM Identity Center können Sie auf Standards basierte starke Authentifizierungsfunktionen für alle Ihre Benutzer übergreifend über alle Identitätsquellen aktivieren. Wenn Sie einen unterstützten SAML 2.0-IdP als Identitätsquelle verwenden, können sie die Multi-Faktor-Authentifizierung Ihres Anbieters aktivieren. Falls Sie IAM Identity Center oder Active Directory als Identitätsquelle verwenden, unterstützt IAM Identity Center die Spezifikation für die Webauthentifizierung, um den Benutzerzugriff auf AWS-Konten und Geschäftsanwendungen mit FIDO-aktivierten Sicherheitsschlüsseln, wie YubiKey und integrierten biometrischen Authentifikatoren, wie Touch ID auf Apple MacBooks und Gesichtserkennung auf PCs zu sichern. Sie können mithilfe von Authenticator-Apps wie Google Authenticator oder Twilio Authy auch Einmalkennwörter (TOTP) aktivieren.
Sie haben auch die Möglichkeit, Ihre vorhandene MFA-Konfiguration für den Remote Authentication Dial-In User Service (RADIUS) mit IAM Identity Center und AWS Directory Services zur Authentifizierung Ihrer Benutzer als sekundäre Verifizierungsmaßnahme zu nutzen. Weitere Informationen zur Konfiguration von MFA mit IAM Identity Center finden Sie im IAM Identity Center Benutzerhandbuch.
Unterstützt IAM Identity Center die Webauthentifizierungsspezifikation?
Ja. Für Benutzeridentitäten im Identitätsspeicher von IAM Identity Center und Active Directory unterstützt IAM Identity Center die Spezifikation für die Webauthentifizierung (WebAuthn), um den Benutzerzugriff auf AWS-Konten und Geschäftsanwendungen mit FIDO-aktivierten Sicherheitsschlüsseln, wie YubiKey und integrierten biometrischen Authentifikatoren, wie Touch ID auf Apple MacBooks und Gesichtserkennung auf PCs zu sichern. Sie können mithilfe von Authenticator-Apps wie Google Authenticator oder Twilio Authy auch Einmalkennwörter (TOTP) aktivieren.
Was müssen meine Mitarbeiter als Erstes mit IAM Identity Center machen?
Als Erstes besuchen Ihre Mitarbeiter das IAM-Identity-Center-Benutzerportal, das generiert wird, wenn Sie Ihre Identitätsquelle in IAM Identity Center konfigurieren. Wenn Sie Ihre Benutzer in IAM Identity Center verwalten, können Ihre Mitarbeiter ihre E-Mail-Adresse und ihr Kennwort, die sie mit IAM Identity Center konfiguriert haben, verwenden, um sich beim Benutzerportal anzumelden. Wenn Sie IAM Identity Center mit einem Microsoft Active Directory oder einem SAML 2.0 Identitätsanbieter verbinden, können sich Ihre Mitarbeiter mit ihren bestehenden Unternehmens-Anmeldeinformationen anmelden. Anschließend können sie die Konten und Anwendungen anzeigen, die ihnen zugewiesen sind. Um auf ein Konto oder eine Anwendung zuzugreifen, klicken Ihre Mitarbeiter dann auf das zugehörige Symbol im IAM-Identity-Center-Benutzerportal.
Gibt es eine API für IAM Identity Center?
Ja. IAM Identity Center bietet Kontenzuweisungs-APIs mit denen Sie die Verwaltung von Berechtigungen in Umgebungen mit mehreren Konten automatisieren und die Berechtigungen für Prüfungs- und Verwaltungs-Zwecke programmatisch abrufen können.